הוספת HTTPS לאתר

אם חיפשתם במה לשתף את הקהילה בנושאים שלאו דווקא קשורים באופן ישיר למשחקים ישנים או ל"מסע אל העבר", זהו הפורום בשבילכם!

מנהלים: Gordi, Radioactive Grandpa, Octarine, Og, אופיר

סמל אישי של משתמש
Octarine
מנהל
מנהל
הודעות: 3749
הצטרף: ג' יולי 07, 2009 11:48 pm
מיקום: בין חושך לאור

הוספת HTTPS לאתר

שליחה על ידי Octarine »

היי גורדי, מה דעתך להפוך את האתר ל-HTTPS? כל פעם שאני מתחבר הדפדפן מזכיר לי שהאתר לא מאובטח. אז אמנם אף אחד לא מעביר פה כרטיסי אשראי, אבל אם אפשר להגן עוד קצת על המשתמשים, זה נראה לי נכון.
לא יודע כמה זה מסובך מבחינת פלטפורמת האכסון שהאתר יושב עליה, אבל לפחות בעניין ה-certificate אפשר לייצר בחינם דרך Let's Encrypt.
סמל אישי של משתמש
איתן
משתמש רשום
משתמש רשום
הודעות: 1680
הצטרף: ד' יוני 16, 2004 6:59 pm

Re: הוספת HTTPS לאתר

שליחה על ידי איתן »

במה תתבטא ההגנה על המשתמשים הרשומים לאתר?
ועל האורחים, יש השפעה בכלל?

(שואל מסקרנות)
סמל אישי של משתמש
Octarine
מנהל
מנהל
הודעות: 3749
הצטרף: ג' יולי 07, 2009 11:48 pm
מיקום: בין חושך לאור

Re: הוספת HTTPS לאתר

שליחה על ידי Octarine »

הסבר מאוד כללי: בחיבור HTTP רגיל, המידע עובר גלוי, ככה שכל מי שיושב איתך ברשת יכול לראות מה אתה שולח לאתר ולגנוב את פרטי החיבור או להשתלט על הסשן. ראה למשל את התוסף Firesheep שעושה בדיוק את זה. אם האתר עובד ב-HTTPS החיבור הוא מאובטח ומוצפן, ואז התעבורה לא גלויה לאחרים.
באתר כמו מסע אל העבר, שאין באמת חשיפה של פרטים אישיים, זה לכאורה פחות רלוונטי כי מקסימום יהיה אפשר לגלות את הסיסמה שלך לפורום. אבל לדעתי באופן כללי אם קיימת אפשרות לעבוד בחיבור מאובטח, אז זה עדיף. וזה גם יכול להגן על משתמשים שיש להם אותה סיסמה להכל, אם יש בינינו כאלה.
סמל אישי של משתמש
Gordi
מנהל ראשי
מנהל ראשי
הודעות: 6857
הצטרף: ו' ספטמבר 27, 2002 2:19 pm
מיקום: מאחוריך
איש קשר:

Re: הוספת HTTPS לאתר

שליחה על ידי Gordi »

זאת הצעה מצויינת ואני אבדוק אם הדבר אפשרי. תודה!
סמל אישי של משתמש
Gordi
מנהל ראשי
מנהל ראשי
הודעות: 6857
הצטרף: ו' ספטמבר 27, 2002 2:19 pm
מיקום: מאחוריך
איש קשר:

Re: הוספת HTTPS לאתר

שליחה על ידי Gordi »

אוקיי, אז נראה לי שהצלחתי לסדר משהו.
זה עדיין לא מושלם, ואני לא יודע אם אי פעם יהיה מושלם - למשל:
  • גם אם גולשים ב-HTTPS בפורום, לחיצה על הקישור ל"מסע אל העבר" לוקחת את המשתמש לאתר בגרסת ה-HTTP.
  • משחקי האונליין באתר לא עובדים ב-HTTPS.
  • בטח יש עוד דברים שה-QA המהיר שלי פספס...
החסרון הגדול ביותר הוא שהבנתי שאת ה-certificates צריך לחדש בערך כל חודשיים, והתהליך (שאמור להיות אוטומטי) קצת חורק (בכל זאת, מדובר בשירות חינמי).
אז בינתיים אני חושב שלא נרוץ עם HTTPS כברירת מחדל בפורום (באתר הוא כנראה ממילא לא יהיה ברירת מחדל בגלל משחקי האונליין) ונחכה לפחות תקופת חידוש אחת לראות האם יש צורך באיזשהו התערבות ידנית. בינתיים כולם מוזמנים לנסות לגשת ב-HTTPS ולהנות מהיתרונות ש-Octarince ציין.
סמל אישי של משתמש
Octarine
מנהל
מנהל
הודעות: 3749
הצטרף: ג' יולי 07, 2009 11:48 pm
מיקום: בין חושך לאור

Re: הוספת HTTPS לאתר

שליחה על ידי Octarine »

:salute:

התחלתי לקרוא את הדוקמנטציה ובאמת הם אומרים שה-CA מנפיק רק ל-90 יום. אבל יש פקודת renew, אז אפשר ליצור איזה שהוא פתרון אוטומטי לחידוש.

בעניין הקישור שעדיין עובד ב-http, צריך להגדיר redirect באתר עצמו, אני מניח...? הניסיון שלי בדברים כאלה הוא די בסיסי, לצערי.
סמל אישי של משתמש
Gordi
מנהל ראשי
מנהל ראשי
הודעות: 6857
הצטרף: ו' ספטמבר 27, 2002 2:19 pm
מיקום: מאחוריך
איש קשר:

Re: הוספת HTTPS לאתר

שליחה על ידי Gordi »

השרת של האתר תומך בעקרון ב-Renew וכך הגדרתי את השירות, אבל בתיעוד של השרת נכתב שהאמינות של השירות הזה בעייתית מבחינת חידוש, ולכן כדאי לבדוק גם ידנית שהכל בסדר סמוך למועד החידוש. אם זה המצב, לא בטוח שארצה להגדיר את ברירת המחדל כ-HTTPS, כדי שלא יקרה מצב שאני לא בסביבה כמה ימים והדפדפן מתחיל לדווח שיש בעיית אבטחה באתר - זה יזיק יותר מאשר זה מועיל. אז כצעד ראשון נחכה לחידוש הראשון ונראה אם הכל עובר חלק, ואז נחליט על המשך צעדינו.
אורח

Re: הוספת HTTPS לאתר

שליחה על ידי אורח »

יש אפשרות לגרום למשחקים אונליין לעבוד ב-HTTPS?
סמל אישי של משתמש
Gordi
מנהל ראשי
מנהל ראשי
הודעות: 6857
הצטרף: ו' ספטמבר 27, 2002 2:19 pm
מיקום: מאחוריך
איש קשר:

Re: הוספת HTTPS לאתר

שליחה על ידי Gordi »

אני חושב שזה אפשרי עם מאמץ בינוני עבור רוב המשחקים באתר, עבור חלקם הקטן זה בעייתי בגלל מגבלות שרת.
אבל בעיקר אשמח לדעת מדוע אתה מבקש - לא תארתי לעצמי שתהיה דרישה כזו ואני מסתקרן לדעת מה התמריץ.
אורח

Re: הוספת HTTPS לאתר

שליחה על ידי אורח »

יש תוספות לדפדפן, כמו HTTPS Everywhere למשל, שגורמות לדפדפן להשתמש ב-HTTPS בכל אתר שתומך בכך.
גולשים שמשתמשים בתוספות כאלו לא יבינו למה המשחקים אונליין לא עובדים להם.
גם יהיה נחמד לראות את כל האתר עובד ב-HTTPS.
סמל אישי של משתמש
Gordi
מנהל ראשי
מנהל ראשי
הודעות: 6857
הצטרף: ו' ספטמבר 27, 2002 2:19 pm
מיקום: מאחוריך
איש קשר:

Re: הוספת HTTPS לאתר

שליחה על ידי Gordi »

אוקיי, נשמע לגיטימי.
ניסיתי לסדר את העניין - אם ישנן בעיות אשמח לשמוע על כך.

כמו כן, הפנתי את הקישור הראשי לפורום באתר לגרסת ה-HTTPS.
אורח

Re: הוספת HTTPS לאתר

שליחה על ידי אורח »

תודה!

עברתי קצת על האתר, עוד כמה דברים שאפשר לסדר:
- הלוגו של הפורום (למעלה מצד ימין), שמקשר לעמוד הראשי, מקשר ל-HTTP
- עמוד 'פתיחונים ישראליים' : הם לא עובדים... (יוטיוב עברו ל-HTTPS וכך גם ויקיפדיה שמקושרת משם, כך שאפשר לעדכן את הקישורים)
- עמוד 'רטרו-ספקטיבה' : הקישורים לפורום הם ל-HTTP
- עמוד 'תרומה לאתר' : התמונות והקישורים ב-HTTP
- עמודי 'חוברות הדרכה' : התמונות ב-HTTP
- עמוד 'אינדקס הכותרים בעברית' : הדפדפן מסמן שחלק מהעמוד ב-HTTP
- עמוד 'הצגת פונט עברי' : ההורדה ב-HTTP
- אפשרות 'שמירת / שיתוף דף זה' : אפשר לעדכן את הלוגואים (גוגל החליפו לוגו כמה פעמים מאז), ואת הקישורים לאתרים ל-HTTPS
אורח

Re: הוספת HTTPS לאתר

שליחה על ידי אורח »

עדכון: נראה שכל הסרטונים ביוטיוב לא עובדים ב-HTTPS...
למשל כאן: https://www.old-games.org/7z.php (אגב הקישור הראשון לאתר של 7Zip שבור)
או כאן בשאילתא על הנסיך הפרסי: https://www.old-games.org/faq/faq.php?cat=58#101

בנוסף הקישור מדף הבית של מסע אל העבר לרומולטור (בצד ימין למטה) הוא ל-HTTP.

גם הקישורים מהרומולטור למסע אל העבר ולדף הבית של הרומולטור (הקישור האחרון בדף) הם ל-HTTP.
https://rom.old-games.org/links.php
סמל אישי של משתמש
Gordi
מנהל ראשי
מנהל ראשי
הודעות: 6857
הצטרף: ו' ספטמבר 27, 2002 2:19 pm
מיקום: מאחוריך
איש קשר:

Re: הוספת HTTPS לאתר

שליחה על ידי Gordi »

תודה רבה, אני אשתדל לעבוד על זה (לא מבטיח שאסדר הכל, אתן עדיפות לדברים שלא עובדים כלל).
אורח

Re: הוספת HTTPS לאתר

שליחה על ידי אורח »

ראיתי שתיקנת כמעט הכל, הקישור מהלוגו של הפורום (למעלה) עדיין מקשר ל-HTTP.

עוד כמה דברים שפספסתי:

בעמוד הקישורים שלושת הקישורים העצמיים (למטה) הם ל-HTTP
https://www.old-games.org/kishurim.php

התמונות בדפים של המשחקים בפינת 'שיתוף קבצים' הם ב-HTTP (בדומה למה שהיה בעמודי 'חוברות ההדרכה')

ההורדות עצמן (הקישורים לקבצים) הן ב-HTTP

בנוסף לא קשור ל-HTTPS: הקישור לתנועה לשימור משחקים בישראל (בצד ימין למטה) שבור. הם כנראה שכחו לחדש את הדומיין. אפשר להחליף את הקישור הזה לעמוד הפייסבוק שלהם, אם אין להם אתר.
שלח תגובה הנושא הקודםהנושא הבא