De repente, esta manhã, notei o ícone de aviso “Sua Conexão Não é Segura” para nosso fórum na barra de endereços do meu navegador. Rastreei isso bastante rápido até as imagens problemáticas usando “Mais Recentes” e, em seguida, verificando simplesmente as imagens que as pessoas haviam enviado. Encontrei 2 imagens (Oneboxed) que tinham links HTTP em vez de HTTPS. Eu as excluí e as substituí apenas pelos próprios links. O problema foi corrigido imediatamente e voltamos ao cadeado de segurança verde. 
Agora entendo por que outro fórum do qual sou membro também exibe o aviso “Conexão Não Segura”… muitas pessoas, ao longo dos anos, enviaram links de sites HTTP que foram Oneboxed. Felizmente, não preciso lidar com esse fórum! 
A menos que as imagens sejam muito grandes, o Discourse baixará essas imagens remotas e as tornará locais para evitar que os links das imagens quebrem, caso seu site tenha as configurações padrão. Isso é algo normal no Discourse. Isso traz o benefício adicional de também tornar as imagens acessíveis via HTTPS.
Temos um Discourse pago e estamos usando as configurações padrão — não alterei nada. A própria imagem tem apenas 18,5 KB. A única coisa que causou o aviso de conexão insegura foi o Onebox com o link http. Assim que excluí isso, em menos de 2 segundos o ícone de cadeado voltou a ficar verde. O usuário fez o upload da foto salva acima do Onebox para mostrá-la em tamanho maior. Isso estava correto. Posso verificar qual é a configuração padrão.
Edição: Verifiquei os padrões para isso:
buscar imagens: (caixa marcada) Recuperar imagens remotas…
baixar imagens remotas para local (caixa marcada) Converter imagens remotas em imagens locais por…
Nada foi alterado.
Você pode tentar colar o mesmo link da imagem aqui, e nós podemos dar uma olhada. A única coisa que consigo pensar que impediria o download local é se a imagem for muito grande.
Acabei de colar o link e ele não foi Oneboxed. Também colei um segundo link usado pelo usuário, que também não foi Oneboxed, mas depois excluí esse link, pois ele continha o número da conta da usuária para baixar fotos daquele site.
É estranho que ele não faça Onebox aqui. Acabei de criar uma nova resposta no nosso fórum, colei o link — ele foi Oneboxed e o ícone de cadeado de segurança mudou imediatamente de verde para preto, com o ícone de exclamação de aviso… e o Onebox agora mostra um link quebrado para a foto.
Edição: Acabei de receber uma medalha pelo meu primeiro Onebox… que não mostra nada além do link aqui no Meta. 
Isso é estranho 
.
@nbianca, você pode dar uma olhada nisso quando voltar?
O primeiro selo onebox foi concedido para links que não foram oneboxados por tanto tempo que eu achei que esse era o comportamento desejado. 
Isso só aconteceu no meu site depois que excluí um link que estava Oneboxed, mas que causava um ícone de “inseguro” na barra de endereços do nosso fórum. Depois que publiquei o link aqui no Meta, ele não Oneboxed, mas me deu a medalha. Outra coisa estranha é que re-postei o link no meu site e agora ele não Oneboxed mais, mostrando um ícone de “link quebrado” para a foto. Estou começando a me perguntar se o link original — que tinha o número de cliente do autor original anexado ao final — não Oneboxed mais porque removi o ID do cliente. Mas ela também havia postado a mesma foto e o link sem o número de ID na mesma publicação, e isso Oneboxed. Isso realmente me deixou confuso. Todos os outros links de outras pessoas… e do autor original… todos Oneboxed no meu site desde então. É apenas esse link que causou esse incidente.
Vou perguntar ao autor original — um Mod — se ela criaria um tópico de teste e reportaria o link dela lá para 1) ver se Oneboxed, e 2) se faz o ícone de “seguro” na barra de endereços mudar novamente para o ícone de “conexão insegura”. Estou um pouco perplexo.
edit: Criei um tópico oculto na categoria Meta no nosso site. Pedi ao Mod se ela republicaria o(s) link(s) dela naquele tópico (ela também tem privilégios de Admin). Assim que ela postar, informarei aqui.
Edit2: Aqui está o link que meu Mod postou em um tópico de teste. Ele Oneboxed e fez o ícone de cadeado mudar para “conexão insegura” novamente. Como você pode ver, ele não Oneboxed aqui. No entanto, Oneboxed no nosso site onde ela o postou. Copiei o link e o postei no nosso tópico de teste. Ele Oneboxed, mas sem a foto! Como você pode ver, ele não Oneboxed aqui. Acredito que possa ter algo a ver com o cookie de rastreamento que eles configuraram no computador do meu Mod. Eu não tenho o cookie e a foto não aparece para mim quando Oneboxed o link.
Você precisa do link do nosso tópico de teste? É o único tópico oculto na categoria Meta e está no topo da lista. Somos assinantes pagos. (forum.nodders.net)
O mod dela foi enviado e ela voltou a colocar os links dela na nossa categoria Meta, e o ícone de “Conexão Segura” mudou de verde para preto com o ícone de aviso laranja. Eu postei (por ela) um link da Mozilla (Firefox) sobre a diferença entre http, https e conteúdo misto, porque ela disse que não vê problema no conteúdo misto.
Vou excluir os links dela mais uma vez para voltar a ter um link seguro para nosso fórum. Se precisar que eu poste novamente, vou incomodá-la para que ela os poste de novo.
Se não gerar um onebox aqui, não há nada a fazer. Sua instância está atualizada com o código mais recente?
Verifiquei pela última vez ontem e o Dashboard foi atualizado algumas horas antes disso. O Discourse foi atualizado em 26 de julho… para a versão 2.4.0.beta2?
Parece que apenas esse link é o único que causa isso. Não tenho certeza se está relacionado à conta do meu mod naquele site, talvez um cookie de rastreamento que se “perde” quando o link é exibido como um onebox? Excluí esse link no nosso site e voltamos a ter “conexão segura” - sem conteúdo misto.
O problema foi corrigido em:
Quando publiquei um link externo, ele tentou carregar a imagem destacada a partir de um caminho inseguro, resultando em um erro de conteúdo misto.
Solução fácil
-
Acesse /admin/customize
-
Adicione o código abaixo na tag de todos os temas existentes.
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
Isso funciona no Chrome, pelo menos nos testes que fiz. 