Discussion:
Puzzel
(te oud om op te antwoorden)
Sjoerd
2018-06-12 11:00:55 UTC
Permalink
Ik kwam deze pagina tegen van iemand die net als ik de Bluefish editor
gebruikt.

https://sisje.home.xs4all.nl/wandelen/frameset.html

Klik links op een link onder 'LAW', bijvoorbeeld 'Grenslandpad'.
Op deze pagina komen een hele hoop foto's voor, maar ze worden niet
weergegeven in de browser. En mijn grote vraag is: waarom nou niet??

Kopieer ik de broncode (rechtsklikken > View frame source) en maak ik daar
een nieuwe pagina van, dan zijn de foto's ineens wel zichtbaar.

De url van al die foto's begint met http://185.12.13.17/....
Klik je nou links op een link onder 'Buitenland', die beginnen ook
allemaal met http://185.12.13.17/.... en nu wil de pagina niet laden omdat
het een onbeveiligde verbinding zou zijn. Heeft het daar iets mee te
maken, dat die afbeeldingen op een onbeveiligde url zitten? En wat zou er
dan moeten gebeuren om die foto's wel goed weer te geven?


De site die ik zelf in beheer heb, wordt binnenkort ook overgezet naar
iets met SSL, SFTP, https enz. Om die reden probeer ik er iets van te
begrijpen.

Wel zie ik dat in de broncode een <!DOCTYPE html> ontbreekt, en er is wel
een afsluitende </head>, maar geen <head> aan het begin. Maar daar zal het
hem niet aan liggen.
unknown
2018-06-12 11:16:16 UTC
Permalink
Post by Sjoerd
Ik kwam deze pagina tegen van iemand die net als ik de Bluefish editor
gebruikt.
https://sisje.home.xs4all.nl/wandelen/frameset.html
Klik links op een link onder 'LAW', bijvoorbeeld 'Grenslandpad'.
Op deze pagina komen een hele hoop foto's voor, maar ze worden niet
weergegeven in de browser. En mijn grote vraag is: waarom nou niet??
Kopieer ik de broncode (rechtsklikken > View frame source) en maak ik daar
een nieuwe pagina van, dan zijn de foto's ineens wel zichtbaar.
De url van al die foto's begint met http://185.12.13.17/....
Klik je nou links op een link onder 'Buitenland', die beginnen ook
allemaal met http://185.12.13.17/.... en nu wil de pagina niet laden omdat
het een onbeveiligde verbinding zou zijn. Heeft het daar iets mee te
maken, dat die afbeeldingen op een onbeveiligde url zitten?
Min of meer. De server die "sisje.home.xs4all.nl" afhandelt stuurt deze
header naar de browser:

Content-Security-Policy: upgrade-insecure-requests

Dat betekent dat de browser resources (zoals plaatjes) die via HTTP moeten
worden binnengehaald automatisch moet upgraden naar HTTPS. Dus ondanks dat
er `http://` in de HTML staat, haalt de browser ze op alsof er `https://`
in de HTML stond.

En dan gaat het mis, want de server waar de plaatjes op staan heeft een
ongeldig (self-signed?) SSL certificaat.
Post by Sjoerd
En wat zou er dan moeten gebeuren om die foto's wel goed weer te geven?
Misschien dat die header uit te zetten is (alhoewel ik vermoed van niet),
anders proberen om een geldig SSL certificaat op je server te krijgen óf de
plaatjes ergens anders hosten.
--
robert
Sjoerd
2018-06-12 15:24:06 UTC
Permalink
De server die "sisje.home.xs4all.nl" afhandelt stuurt deze header naar de
Content-Security-Policy: upgrade-insecure-requests
Dat betekent dat de browser resources (zoals plaatjes) die via HTTP moeten
worden binnengehaald automatisch moet upgraden naar HTTPS. Dus ondanks dat
er `http://` in de HTML staat, haalt de browser ze op alsof er `https://`
in de HTML stond.
En dan gaat het mis, want de server waar de plaatjes op staan heeft een
ongeldig (self-signed?) SSL certificaat.
Mijn dank. Zeer interessant allemaal.
Rob
2018-06-12 15:59:20 UTC
Permalink
Post by Sjoerd
De server die "sisje.home.xs4all.nl" afhandelt stuurt deze header naar de
Content-Security-Policy: upgrade-insecure-requests
Dat betekent dat de browser resources (zoals plaatjes) die via HTTP moeten
worden binnengehaald automatisch moet upgraden naar HTTPS. Dus ondanks dat
er `http://` in de HTML staat, haalt de browser ze op alsof er `https://`
in de HTML stond.
En dan gaat het mis, want de server waar de plaatjes op staan heeft een
ongeldig (self-signed?) SSL certificaat.
Mijn dank. Zeer interessant allemaal.
ALS dat al een correcte diagnose was dan klopt dat op dit moment in
ieder geval niet meer.
unknown
2018-06-12 16:03:46 UTC
Permalink
Post by Rob
Post by Sjoerd
De server die "sisje.home.xs4all.nl" afhandelt stuurt deze header naar de
Content-Security-Policy: upgrade-insecure-requests
Dat betekent dat de browser resources (zoals plaatjes) die via HTTP moeten
worden binnengehaald automatisch moet upgraden naar HTTPS. Dus ondanks dat
er `http://` in de HTML staat, haalt de browser ze op alsof er `https://`
in de HTML stond.
En dan gaat het mis, want de server waar de plaatjes op staan heeft een
ongeldig (self-signed?) SSL certificaat.
Mijn dank. Zeer interessant allemaal.
ALS dat al een correcte diagnose was dan klopt dat op dit moment in
ieder geval niet meer.
Ongetwijfeld zullen er voldoende browsers bestaan die zich niks aantrekken
van die header.
--
robert
Rob
2018-06-12 16:34:19 UTC
Permalink
Post by unknown
Post by Rob
Post by Sjoerd
De server die "sisje.home.xs4all.nl" afhandelt stuurt deze header naar de
Content-Security-Policy: upgrade-insecure-requests
Dat betekent dat de browser resources (zoals plaatjes) die via HTTP moeten
worden binnengehaald automatisch moet upgraden naar HTTPS. Dus ondanks dat
er `http://` in de HTML staat, haalt de browser ze op alsof er `https://`
in de HTML stond.
En dan gaat het mis, want de server waar de plaatjes op staan heeft een
ongeldig (self-signed?) SSL certificaat.
Mijn dank. Zeer interessant allemaal.
ALS dat al een correcte diagnose was dan klopt dat op dit moment in
ieder geval niet meer.
Ongetwijfeld zullen er voldoende browsers bestaan die zich niks aantrekken
van die header.
Post by Rob
Post by Sjoerd
En dan gaat het mis, want de server waar de plaatjes op staan heeft een
ongeldig (self-signed?) SSL certificaat.
Rob
2018-06-12 16:38:18 UTC
Permalink
Post by unknown
Post by Rob
Post by Sjoerd
De server die "sisje.home.xs4all.nl" afhandelt stuurt deze header naar de
Content-Security-Policy: upgrade-insecure-requests
Dat betekent dat de browser resources (zoals plaatjes) die via HTTP moeten
worden binnengehaald automatisch moet upgraden naar HTTPS. Dus ondanks dat
er `http://` in de HTML staat, haalt de browser ze op alsof er `https://`
in de HTML stond.
En dan gaat het mis, want de server waar de plaatjes op staan heeft een
ongeldig (self-signed?) SSL certificaat.
Mijn dank. Zeer interessant allemaal.
ALS dat al een correcte diagnose was dan klopt dat op dit moment in
ieder geval niet meer.
Ongetwijfeld zullen er voldoende browsers bestaan die zich niks aantrekken
van die header.
Post by Rob
Post by Sjoerd
En dan gaat het mis, want de server waar de plaatjes op staan heeft een
ongeldig (self-signed?) SSL certificaat.
Ik zie nu dat er kennelijk meerdere servers in betrokken zijn, dat ga
ik niet verder uizoeken, klopt dan waarschijnlijk wel. De server van de
site zelf is OK in ieder geval.
unknown
2018-06-12 16:55:52 UTC
Permalink
Post by Rob
Ik zie nu dat er kennelijk meerdere servers in betrokken zijn, dat ga
ik niet verder uizoeken, klopt dan waarschijnlijk wel. De server van de
site zelf is OK in ieder geval.
Klopt, het gaat om de server die via IP-nummer wordt aangesproken, alleen
voor de plaatjes. Niet de XS4ALL server.
--
robert
Loading...