De repente, esta mañana noté el icono de advertencia “Tu conexión no es segura” en la barra de direcciones de mi navegador para nuestro foro. Rápidamente rastree el problema hasta las imágenes causantes usando la opción “Más recientes” y simplemente revisando las imágenes que la gente había subido. Encontré 2 imágenes (Oneboxed) que tenían enlaces http en lugar de https. Las eliminé y las reemplacé simplemente con los enlaces en sí. El problema se corrigió inmediatamente y volvimos a tener el candado de seguridad verde. 
Ahora entiendo por qué otro foro del que soy miembro también muestra la advertencia “Conexión no segura”… muchas personas habían subido enlaces de sitios http que fueron Oneboxed a lo largo de los años. ¡Qué bueno que no tengo que lidiar con ese foro! 
A menos que las imágenes sean muy grandes, Discourse descargaría esas imágenes remotas y las convertiría en locales para evitar que se pierdan, si tu sitio tiene la configuración predeterminada. Esto es algo normal en Discourse. Esto tiene la ventaja adicional de que las imágenes también se convierten en HTTPS.
Tenemos un Discourse de pago y estamos usando la configuración predeterminada; no he modificado nada. La imagen en sí pesa solo 18,5 KB. Lo único que provocó la advertencia de conexión insegura fue el Onebox con el enlace HTTP. Una vez que lo eliminé, en menos de 2 segundos el icono de candado volvió a ponerse verde. El usuario subió la foto guardada por encima del Onebox para mostrarla en mayor tamaño. Eso no dio problemas. Puedo verificar cuál es la configuración predeterminada.
Edición: Verifiqué los valores predeterminados de esto:
Recopilar imágenes: (casilla marcada) Obtener imágenes remotas…
Descargar imágenes remotas a local (casilla marcada) Convertir imágenes remotas a imágenes locales mediante…
Nada fue modificado.
Podrías intentar pegar el mismo enlace de la imagen aquí, y podríamos echar un vistazo. Lo único que se me ocurre que podría impedir la descarga local es si la imagen es muy grande.
Acabo de pegar el enlace y no se ha generado el Onebox. También pegué un segundo enlace que usó el usuario, el cual tampoco generó el Onebox, pero luego lo eliminé porque contenía su número de cuenta de usuario para descargar fotos de ese sitio.
Es extraño que no genere el Onebox aquí. Acabo de crear una nueva respuesta en nuestro foro, pegué el enlace, se generó el Onebox y el icono de candado de seguridad cambió inmediatamente de verde a negro con el icono de advertencia de exclamación… y ahora el Onebox muestra un enlace roto para la foto.
Edición: Acabo de recibir una insignia por mi primer Onebox… que no muestra nada más que el enlace aquí en Meta. 
Eso es extraño 
.
@nbianca, ¿puedes echar un vistazo a eso cuando vuelvas?
Se ha otorgado la primera insignia de onebox para enlaces que no se oneboxearon durante tanto tiempo que pensé que ese era el comportamiento deseado. 
Esto solo ocurrió en mi sitio una vez que eliminé un enlace que estaba Oneboxed, pero que mostraba un icono de “no seguro” en la barra de direcciones de nuestro foro. Después de publicar el enlace aquí en Meta, no se Oneboxed, pero sí me dio la insignia. Otra cosa extraña es que volví a publicar el enlace en mi sitio y ahora no se Oneboxed y muestra un icono de “enlace roto” para la foto. Empiezo a preguntarme si el enlace original, que tenía el número de cliente del autor original añadido al final, ya no se Oneboxed porque eliminé el ID del cliente. Pero ella también había publicado la misma foto y el mismo enlace sin su número de ID en el mismo mensaje y eso sí se Oneboxed. Esto realmente me tiene confundido. Todos los demás enlaces de otras personas… y del autor original… se han Oneboxed en mi sitio desde entonces. Solo este enlace causó este incidente.
Preguntaré al autor original, que es un moderador, si podría crear un tema de prueba y publicar su enlace allí para: 1) ver si se Oneboxed, y 2) si hace que el icono de “conexión segura” en la barra de direcciones vuelva a cambiar al icono de “conexión no segura”. Estoy ligeramente perplejo.
edición: Creé un tema oculto en la categoría Meta de nuestro sitio. Le he pedido al moderador que vuelva a publicar su(s) enlace(s) en ese tema (también tiene privilegios de administrador). En cuanto publique, lo informaré aquí.
Edición 2: Aquí está el enlace que mi moderador publicó en un tema de prueba. Se Oneboxed y volvió a hacer que el icono de candado cambiara a “conexión no segura”. Como pueden ver, no se Oneboxed aquí. Sin embargo, sí se Oneboxed en nuestro sitio donde ella lo publicó. Copié el enlace y lo publiqué en nuestro tema de prueba. Se Oneboxed, pero sin la foto. Como pueden ver, no se Oneboxed aquí. Creo que puede tener algo que ver con la cookie de seguimiento que configuraron en la computadora de mi moderador. Yo no tengo la cookie y la foto no se muestra para mí cuando Oneboxed el enlace.
¿Necesitan el enlace a nuestro tema de prueba? Es el único tema oculto en nuestra categoría Meta y está en la parte superior de la lista. Somos suscriptores de pago. (forum.nodders.net)
Mi mod volvió a subir y embeber sus enlaces en nuestra categoría Meta, y el icono de “Conexión segura” pasó de verde a negro con el icono de advertencia naranja. Por ella, publiqué un enlace de Mozilla (Firefox) sobre la diferencia entre http, https y contenido mixto, ya que dijo que no veía ningún problema con el contenido mixto.
Voy a eliminar sus enlaces una vez más para volver a tener un enlace seguro en nuestro foro. Si necesitas que se publiquen de nuevo, le pediré que los vuelva a publicar.
Si no genera un cuadro único aquí, entonces no hay nada que hacer. ¿Tu instancia está actualizada con el último código?
La última vez que verifiqué fue ayer y el Panel se actualizó unas horas antes. Discourse se actualizó el 26 de julio… ¿a la versión 2.4.0.beta2? Parece que ese único enlace es el único que causa este problema. No estoy seguro si está relacionado con la cuenta de mi mod en ese sitio web, tal vez una cookie de rastreo que se “pierde” cuando el enlace se muestra en una caja de previsualización (onebox)? Eliminé ese enlace de nuestro sitio y volvimos a tener una “conexión segura”, sin contenido mixto.
El problema se solucionó en:
Cuando publiqué un enlace externo, intentó cargar la imagen destacada desde una ruta insegura, lo que provocó un error de contenido mixto.
Solución sencilla
-
Ve a /admin/customize
-
Agrega el siguiente código en el de todos los temas existentes.
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
Esto funciona en Chrome, al menos según mis pruebas. 