مرحباً،
في بعض الأحيان، تظهر تحذيرات حول المحتوى المختلط في المنتدى. انظر الآن إلى Let’s Encrypt:
بعض أيقونات المفضلة - http://alohadentalgroup.com/assets/icons/favicon.ico
تم العثور عليها في https://sjc4.discourse-cdn.com/letsencrypt/assets/_application-b690f7341f116f756f6621f3fbcc8e6ae69695c2db2f5ebceb6c46aaed19b17f.js 76678:17
أليس من الممكن تغيير هذه الروابط إلى https أو تجاهل هذه الروابط http؟
المنتدى الذي يحتوي على محتوى مختلط أمر سيء.
رابط الأيقونة (favicon) غير مستضاف في ديسكورش، هل تستخدم ديسكورش؟ ما هو رابط التثبيت؟
هل قمت بتفعيل خيار force_https؟
إذا كان الأمر كذلك، أعد رفع الأيقونات. وإذا لم يكن كذلك، فعّله ثم أعد الرفع.
لا أعرف، لست مسؤولًا عن منتدى Letsencrypt.
لكن إذا كانت هناك خيار محلي، سأطلب ذلك في المنتدى الداخلي العادي.
ملاحظة: شكرًا على النقل
التحذير لا يدعو للقلق.
أحد المستخدمين على موقع Let’s Encrypt أضاف رابطًا بـ http في هذا الموضوع: Issues running certbot command - Help - Let's Encrypt Community Support.
ولهذا السبب يحذر المتصفح (بشكل صحيح) من وجود محتوى مختلط.
تحذيرات المحتوى المختلط دائمًا ما تكون سيئة. من الممكن إضافة ملفات تعريف الارتباط عبر بروتوكول HTTP تُستخدم في اتصال HTTPS التالي. لذا، يجب ألا تبدأ برامج المنتديات اتصالات HTTP أبدًا.
خاصة في منتدى يتحدث عن “شهادتي خاطئة” أو “لدي تحذيرات محتوى” (الشهادة صحيحة، لكن هناك محتوى مختلط — أول شهادة بهذا النطاق، يجب تحديث الروابط).
أيقونة الموقع هذه غير متاحة عبر HTTPS. إن تحذير المحتوى المختلط ليس مثاليًا، لكنه أفضل من إرباك المستخدم بسبب عدم عمل روابطه.
أعلم ذلك. لكن من الممكن أن يستخدم شخص في الوسط اتصال HTTP الذي يبدأه المتصفح لإضافة ملف تعريف ارتباط عبر HTTP. لاحقًا، يُرسل المتصفح ملف تعريف الارتباط عبر HTTPS - فيعرف الشخص في الوسط ملف تعريف ارتباط الجلسة.
هذا يعمل. حالة HTTP (404، 301، 410، 500) غير ذات صلة.
هذا
ليس مشكلة. أيقونة الموقع ليست رابطًا يبدأه المستخدم؛ فالمستخدم يضيف فقط رابط HTTP إلى الموقع دون HTTPS.
الحل البسيط: لا توجد معاينة إذا كان الوجهة عبر HTTP. عندئذٍ لا يكون تحميل أيقونة الموقع ضروريًا.
ليس على اتصال من طرف ثالث. المتصفح لا يرسل ملفات تعريف الارتباط الخاصة به لموقع المنتدى إلى موقع آخر، سواء كان HTTP أو HTTPS.
أنت تخلق مشكلة حيث لا توجد مشكلة. يرجى إظهار ثغرة استغلال لهذا الأمر على try.discourse.org إذا كنت تشعر حقًا بأن هذه مشكلة.
هذه ليست المشكلة. لكان ذلك عيبًا في المتصفح.
يمكن لوسيط في المنتصف إضافة ملف تعريف ارتباط في اتصال http://alohadentalgroup.com مع النطاق alohadentalgroup.com، باستخدام الاسم المعروف لملف تعريف ارتباط جلسة (إذا كان موجودًا، لم أتحقق من ذلك) لذلك النطاق (وليس من نطاق المنتدى).
إذا قام مستخدم لاحقًا باستخدام تسجيل الدخول إلى https://alohadentalgroup.com لإدارة ذلك النطاق، فإن ملف تعريف الارتباط (الذي تم إنشاؤه عبر HTTP) يُعاد إرساله عبر HTTPS.
هذه إحدى الميزات الحرجة (وغالبًا غير المعروفة) لملفات تعريف الارتباط.
هذا أحد الأسباب التي أدت إلى إنشاء بادئات ملفات تعريف الارتباط. ملفات تعريف الارتباط التي تبدأ بـ __Secure- أو __Host- تتطلب HTTPS. عندئذٍ لم يعد هذا ممكنًا. الأمر نفسه ينطبق على التحميل المسبق (لكن معظم المواقع لا تستخدم HSTS ولا يتم تحميلها مسبقًا).
انظر (2017)
أو روابط أخرى.
ملاحظة: تحتوي صفحة “تحقق من موقعك الإلكتروني” (انظر ملفي الشخصي) على بعض الأمثلة. وكذلك عرض توضيحي صغير. ملف تعريف ارتباط تم إنشاؤه عبر HTTP وأُرسل مرة أخرى عبر HTTPS. عبر HTTP، لا يمكن (باستخدام متصفح حديث) إنشاء ملف تعريف ارتباط __Host-. لكن بادئات ملفات تعريف الارتباط نادرة.