Stamattina all’improvviso ho notato l’icona di avviso “La tua connessione non è sicura” per il nostro forum nella barra degli indirizzi del mio browser. Ho rapidamente individuato la causa grazie alle immagini problematiche, utilizzando la sezione “Ultime” e controllando semplicemente le immagini caricate dagli utenti. Ho trovato due immagini (Oneboxed) che contenevano link HTTP invece di HTTPS. Le ho eliminate e sostituite con i link stessi. Il problema è stato risolto immediatamente e siamo di nuovo tornati al lucchetto verde di sicurezza. 
Ora capisco perché anche un altro forum di cui faccio parte mostra l’avviso “Connessione non sicura”… nel corso degli anni molte persone avevano caricato link da siti HTTP che venivano Oneboxed. Sono contento di non dover occuparmi anche di quel forum! 
A meno che le immagini non siano molto grandi, Discourse scaricherebbe quelle immagini remote e le renderebbe locali per prevenire il decadimento delle immagini, se il tuo sito ha le impostazioni predefinite. Questa è una cosa normale in Discourse. Questo ha il vantaggio aggiuntivo di rendere anche le immagini HTTPS.
Abbiamo un Discourse a pagamento e stiamo utilizzando le impostazioni predefinite: non ho modificato nulla. L’immagine in sé pesa solo 18,5 kB. L’unico elemento che ha causato l’avviso di connessione non sicura è stato l’Onebox con il link HTTP. Una volta eliminato, in meno di 2 secondi l’icona del lucchetto è tornata verde. L’utente ha caricato la foto salvata sopra l’Onebox per visualizzarla più grande; questo non ha dato problemi. Posso verificare qual è l’impostazione predefinita.
Modifica: Ho controllato le impostazioni predefinite per questo:
- Crawl images: (casella spuntata) Recupera immagini remote…
- Download remote images to local (casella spuntata) Converti immagini remote in immagini locali tramite…
Nessuna modifica è stata apportata.
Potresti provare a incollare qui lo stesso link dell’immagine, così possiamo dare un’occhiata. L’unica cosa che mi viene in mente che potrebbe impedire il download locale è se l’immagine è molto grande.
Ho appena incollato il link e non è stato Oneboxed. Ho anche incollato un secondo link usato dall’utente, che anch’esso non è stato Oneboxed, ma poi ho eliminato quel link perché conteneva il numero del suo account utente per scaricare le foto da quel sito.
È strano che qui non venga Oneboxed. Ho appena creato una nuova risposta sul nostro forum, incollato il link: è stato Oneboxed e l’icona del lucchetto di sicurezza è passata immediatamente dal verde al nero con l’icona di avviso a punto esclamativo… e l’Onebox ora mostra un link interrotto per la foto.
Modifica: Ho appena ricevuto un badge per il mio primo Onebox… che qui su Meta non mostra altro che il link. 
Strano 
.
@nbianca, puoi dare un’occhiata a questo quando torni?
Il primo badge onebox è stato assegnato per link che non venivano oneboxati da così tanto tempo che pensavo fosse il comportamento desiderato. 
Questo è successo sul mio sito solo dopo aver eliminato un link che era Oneboxed, ma che causava un’icona “non sicuro” nella barra degli indirizzi del nostro forum. Dopo aver pubblicato il link qui su Meta, non è stato Oneboxed, ma mi ha comunque dato il badge. Un’altra cosa strana è che ho ripubblicato il link sul mio sito e ora non viene più Oneboxed, mostrando invece un’icona “link rotto” per la foto. Sto iniziando a chiedermi se il link originale – che aveva il numero cliente del postatore originale aggiunto alla fine – non venga più Oneboxed perché ho rimosso l’ID del cliente. Tuttavia, lei aveva anche pubblicato la stessa foto e lo stesso link senza il suo numero di ID nello stesso post, e quello è stato Oneboxed. Questo mi sta davvero confondendo. Tutti gli altri link di altre persone… e del postatore originale… sono stati Oneboxed sul mio sito da allora. È solo questo link che ha causato l’incidente.
Chiederò al postatore originale – un Moderatore – se potrebbe creare un argomento di prova e riferire il suo link lì per: 1) verificare se viene Oneboxed, e 2) se fa sì che l’icona “sicuro” nella barra degli indirizzi torni a essere l’icona “connessione non sicura”. Sono leggermente perplesso.
edit: Ho creato un argomento nascosto nella categoria Meta sul nostro sito. Ho chiesto al Moderatore se volesse ripubblicare il suo/i suoi link in quell’argomento (lei ha anche privilegi di Amministratore). Non appena pubblicherà, vi aggiornerò qui.
Edit2: Ecco il link che il mio Moderatore ha pubblicato in un argomento di prova. È stato Oneboxed e ha fatto sì che l’icona del lucchetto tornasse a essere “connessione non sicura”. Come potete vedere, qui non è stato Oneboxed. Tuttavia, è stato Oneboxed sul nostro sito dove lei l’ha pubblicato. Ho copiato il link e l’ho pubblicato nel nostro argomento di prova. È stato Oneboxed, ma senza la foto! Come potete vedere, qui non è stato Oneboxed. Penso che possa avere a che fare con il cookie di tracciamento che hanno impostato sul computer del mio Moderatore. Io non ho quel cookie e la foto non si mostra per me quando Oneboxed il link.
Avete bisogno del link al nostro argomento di prova? È l’unico argomento nascosto nella nostra categoria Meta ed è in cima alla lista. Siamo un abbonamento a pagamento. (forum.nodders.net)
Il mod ha caricato di nuovo i suoi link nella categoria Meta e l’icona “Connessione sicura” è passata dal verde al nero con l’icona di avviso arancione. Ho pubblicato (per lei) un link di Mozilla (Firefox) sulla differenza tra http, https e contenuto misto, perché aveva detto che non vede problemi nel contenuto misto.
Sto per cancellare di nuovo i suoi link per tornare ad avere un collegamento sicuro al nostro forum. Se hai bisogno che vengano pubblicati di nuovo, la disturberò per chiederle di ripubblicarli.
Se non funziona qui, non c’è nulla da fare. La tua istanza è aggiornata con l’ultima versione del codice?
L’ultima volta che ho controllato era ieri e la Dashboard era stata aggiornata un paio d’ore prima. Discourse è stato aggiornato il 26 luglio… alla versione 2.4.0.beta2?
Quel link sembra essere l’unico a causare questo problema. Non sono sicuro se sia legato al mio account mod su quel sito, forse a un cookie di tracciamento che viene “perso” quando il link viene incorporato in una preview? Ho rimosso quel link dal nostro sito e siamo tornati a “connessione sicura” - nessun contenuto misto.
Il problema è stato risolto in:
Quando ho pubblicato un link esterno, ha tentato di caricare l’immagine in evidenza da un percorso non sicuro, causando un errore di contenuto misto.
Soluzione semplice
-
Vai su /admin/customize
-
Aggiungi il codice seguente all’interno del tag di tutti i temi attualmente presenti.
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
Questo funziona su Chrome, almeno secondo i miei test. 