Krótkie ogłoszenie: dziś w nocy przełączyłem bloga na protokół https czyli tzw. bezpieczne połączenie.
Zapewnia ono, że transmisja między Waszym komputerem, a serwerem jest szyfrowana, a na pasku adresu zobaczycie charakterystyczną kłódeczkę.
Taka zmiana nie była w zasadzie konieczna, bo nie ma tu np. sklepu, ani innego miejsca, gdzie trzeba się logować. Jednak od pewnego czasu przeglądarki (np. Chrome) zwracają uwagę, że strona jest „niezabezpieczona”, podobno wpływa to też na pozycję w Google. Protokół https jest też ponoć nieco szybszy.
Aktualizacja: po przyjrzeniu się tematowi wycofuję się z deklaracji, że „zmiana nie była konieczna” – zgadzam się, że każdy blog powinien dziś mieć https.
Parę rzeczy może nie działać (usunąłem chwilowo widżet z promocjami dnia Ebookpoint) i będę to poprawiał, ale jeśli coś się popsuło z Waszego punktu widzenia, to piszcie w komentarzach.
Aktualizacja: RSS już działa. Strona może nie wczytywać się na Internet Explorer dla Windows XP oraz na systemie Android 2.x.
Dodam, że od ponad roku na https działa porównywarka.
Autor zdjęcia: Yuri Samoilov, CC-BY 3.0
Myślę, że jakiś tam sens to ma. Podajemy tutaj np. swoje e-maile. Wcześniej to pewnie leciało przez sieć otwartym tekstem, teraz to będzie zaszyfrowane. Chyba mała szansa, żeby komuś chciało się to przechwytywać „po drodze”, ale zawsze to lepiej gdy nie musimy się nad taką możliwością zastanawiać.
Chmm,
Na pewno ten co chciałby adresy mailowe przechwytywać „po drodze” nie będzie wiedział, że potem może je przeczytać bez problemu na stronie z komentarzami :)
z.
Na jakiej stronie z komentarzami? Adresy nie są wyświetlane w żadnym miejscu dostępnym publicznie.
Tak Ci się tylko wydaje…
Jeśli Tobie się nie wydaje, a wiesz, to oznacza, że znalazłeś dziurę w zabezpieczeniach WordPressa lub bloga, którą powinienem najszybciej załatać. Wyślij mi proszę na priva, gdzie to znalazłeś.
Nie ma żadnej dziury (przynajmniej mi znanej). Adresy e-mail wyciekają przez gravatar. Ja tam nie mam konta, więc moje (zmieniałem dwa razy) nie wyciekły (tym kanałem).
A jest jakieś potwierdzenie że wyciekają? Bo jak wynika np. stąd: https://www.wordfence.com/blog/2016/12/gravatar-advisory-protect-email-address-identity/ problem wynikał z tego, że używali hasha md5 i w ten sposób znając czyjś adres, można znaleźć, gdzie komentował w sieci.
Robercie, przecież „Świat czytników” zawiera dane osobowe użytkowników. Jeżeli ktoś je zmienia lub też rejestruje się jako nowy użytkownik, to te dane są transmitowane w sposób niezabezpieczony.
Zmiana była konieczna, szkoda, że tak późno. Przeglądarka Chrom i inne chyba jednak wiedzą lepiej …
Trochę dziwi mnie Twoje podejście typu „Zmiana nie była konieczna … „. Jeżeli by nie była, to by „Świat czytników” nie wydawałby pieniędzy na jej wdrożenie.
@bobasekp
Certyfikaty ssl są darmowe od ładnych paru lat. ;)
@Marek, nie, nie są darmowe. Można dostać darmowy od Let’s Encrypt, ale pisanie, że ogólnie certufikaty SSL są darmowe, to mocno naciągane stwierdzenie.
A mógłbyś podać adres tej strony, na której widzisz te adresy? Bo jakoś nie potrafię znaleźć, a chciałbym zerknąć.
Nie mówcie, że podajecie tutaj swoje prawdziwe maile…
Tak, a co?
Jak najbardziej. A w czym problem?
Mail którego tu używam i tak już podałem w tylu miejscach, że pewnie wyciekł już kilka razy (wiem o 2 potwierdzonych, z Adobe’a i Kickstartera)
Zgłaszam zatem, że apka dla Androida przestała działać. Daje ciągle komunikat o braku internetu.
Świat Czytników ma jakąś appkę?
Miał:
https://swiatczytnikow.pl/aplikacja-swiata-czytnikow-na-androida/
https://swiatczytnikow.pl/przypomnienie-aplikacja-swiata-czytnikow-dla-androida/
A to postaram się wyjaśnić, ale z tego co widzę, autor (który robił ją niezależnie ode mnie) już jej chyba nie rozwija, bo zniknęła ze sklepu Google.
A to pech! Ja akurat używałem dość intensywnie. No nic, trzeba będzie wchodzić przez przeglądarkę.
Faktycznie znikneła ze sklepu. Google usunął ją sam, bo nie uzupełniłem informacji o tym, czy apka jest przeznaczona głównie dla dzieci czy też nie.
Skoro ktoś jej używa jednak, to przesłąłem ją ponownie wiec powinna się pojawić wkrótce.
Co do HTTPS to wieczorem sprawdzę, URL do strony jest zahardcodowany wiec musze go podmienić
O, śledzisz. :) Generalnie jeśli appka zaciąga treści z RSS, a nie pobiera ich ze strony, zmiana protokołu nie powinna mieć znaczenia.
EDIT: aha, wygląda na to, że feed przestał działać :/ powalczę z tym.
EDIT 2: RSS już powinien działać.
Apka działa :-)
Dzięki.
Potwierdzam, że apka działa. Na szczęście nie musiałem nic poprawiać :)
Ze statystyk dodam, że jest około 70 aktywnych użytkowników za ostatni miesiąc.
71 :)
Zmiana w dobrą stronę :)
Proponuję zwerfikować certyfikat. Łączę się z firmowej sieci poprzez Cloud Proxy. W tym przypadku ZScaler i proxy klasyfikuje certyfikat jako niezaufany i nie pozwala na połączenie.
Komunikat:
We found a security threat.
Access denied due to bad server certificate
You tried to visit:https://swiatczytnikow.pl/
Pozdrawiam
O, to jest bardzo niedobre. Narzędzie diagnostyczne mówi mi że coś jest nie tak, ale jeszcze sprawdzimy co.
A zobaczysz, czy na https://ebooki.swiatczytnikow.pl/ też jest taki komunikat z proxy? Tam powinno być zero problemów.
Tak, „ebooki” ładują się poprawnie bez błędu certyfikatu
Już działa poprawnie przez Zscaler’a :)
Super :) Właśnie poprawiłem konfigurację SSL i miałem zapytać czy jest już OK.
Jest ok :) https://www.ssllabs.com/ssltest/analyze.html?d=swiatczytnikow.pl
Jest ok :) https://bit.ly/2Mr3xsh
Overall Rating „tylko” A – mogło być lepiej…
Certyfikat jest od nazwa.pl, mogło być gorzej…
(Dla laików: w tym teście można wyciągnąć więcej niż ocenę A, konkretnie A+. W praktyce osiągnięcie takiej wartości ma też swoje negatywne implikacje, dlatego sporo dużych firm zostaje przy A. Natomiast nazwa.pl to jeden z najgorszych usługodawców w PL, dlatego mówię, że mogło być gorzej)
Tylko A+? A co z A++ (wszystkie paski na 100%)?
@Athame, nie widziałem A++ chyba nigdy, ale nie wykluczam, że taka ocena istnieje.
Tak, z tego korzystam. Ocenę A+ ma porównywarka, która nie jest na współdzielonym IP.
Jak jestesmy przy zmianach, to ja bym prosil o przechowywanie sesji porownywarki, zebym sie nie musial logowac za kazdym razem.
To jak już o technologiach, to ciekawostka z cyklu startup’ów https://igg.me/at/Gligo. Smartwatch z e-ink oraz podobno prawie 2 letnim podtrzymaniem pomiędzy ładowaniami.
Źle przeczytałeś. 2 lata wytrzymuje bateria guzikowa do podtrzymania zegara kwarcowego. Do ekranu jest osobny, ładowany, wbudowany akumulatorek, i ten ma wytrzymać na jednym ładowaniu „tylko” 180 dni ;)
Jeśli korzystasz z jakiś programów partnerskich, gdzie zlicza Ci ruch z twojej strony z wykorzystaniem Google Analytics, to mogą się pojawić problemy ze zliczaniem ruchu. Pomaga dodawanie paremetrów na końcu linku.
Tak, wiem o tym, ale większość linków ma potrzebne parametry, więc nie powinno być źle.
https nie jest szybszy od http. Poza tym wszystko działa, kłódka jest zielona.
Pozdrawiam zza blogowej miedzy!
Tego akurat nie wiem, po prostu przeczytałem ten artykuł: https://websitesetup.org/http-to-https-wordpress/ gdzie był link do tego testu: http://www.httpvshttps.com/ – acz nie wiem, czy to nie jest jakiś zaawansowany trolling.
Wygląda na żart. Jakim cudem dane o wielkości w najlepszym przypadku równej danym bez szyfrowania, a w najgorszym odczuwalnie większe, miałyby być przesyłane szybciej? W moich testach wyszło, że strona bez „s” ładuje się szybciej, ale nie o istotne wartości.
@Athame
Przyspieszenie wynika ze zrównoleglenia połączeń, które strona robi do serwera o różne zasoby (obrazki, ikonki, pliki javascript, itp.)
Podlinkowany przykład jest dosyć jaskrawy – mamy dużo małych ikonek. Stary protokół (http/1.1) mógł jednocześnie ściągać 8 (albo 4, nie pamiętam) takich obrazków. Wprowadzenie https pozwala na korzystanie z protokołu http/2, który takich ograniczeń nie ma i jednocześnie implementuje kilka innych rozwiązań zwiększających prędkość przesyłu danych (np. serwer push, gdzie serwer sam może przesłać do przeglądarki dane zanim ta o nie poprosi).
Wbrew temu co wielu ludzi sądzi, na prędkość wczytywania strony ma wpływ nie tylko jej sumaryczna wielkość (rozmiar pliku html+css+js+obrazki), ale też (i czasami to jest nawet ważniejsze) ilość żądań, które strona wysyła do serwera (czyli np. ilość obrazków na stronie). Otwarcie i zamknięcie połączenia zajmuje parę dodatkowych milisekund, nie ma to znaczenia jak ściągamy jeden plik, ale jak jest ich więcej to czasy te liczymy już w pełnych sekundach. Dokładnie to obrazuje zalinkowana strona, gdzie ikonki są małe, ale jest ich stosunkowo dużo. Gdyby stworzyć z nich jeden plik, ten plik przesłał by się błyskawicznie. Ale ponieważ w wersji http/1.1 (bez https) strona musi otworzyć 100 połączeń i w dodatku musi ściągać te ikonki sekwencyjnie (tylko po kilka na raz) to trwa to nieporównywalnie dłużej niż w wersji z https (http/2) gdzie wszystko leci równolegle.
Możesz spróbować sobie zerknąć w Chrome Dev Tools (naciśnij F12 w przeglądarce), w zakładkę Network (Sieć). Otwórz każdą ze stron patrząc na tą zakładkę. Tam zobaczysz na ładnych wykresach w jaki sposób ładują się zasoby w http/1.1 a jak w http/2
Douczyłeś mnie. HTTP/2 rzeczywiście ma znaczenie. Wałek polega na tym, że ta wersja protokołu technicznie może działać także na http/1.1, ale najpopularniejsze przeglądarki blokują to.
Jednak test jest na specjalnie spreparowanych danych – czyli ustawiony – na moich stronach HTTPS był wolniejszy od HTTP (mimo to wszędzie mam wersję z „s”).
To NIE jest trolling i druga zalinkowana przez Ciebie strona bardzo dobrze pokazuje korzyści z wprowadzenia https. Https sam w sobie nie wpływa na prędkość ładowania strony, ale umożliwia przeglądarkom korzystanie z protokołu HTTP/2 (zamiast starego 1.1). To właśnie nowy protokół daje przyspieszenie. Sprawdziłem – masz włączony HTTP/2, czyli wszystko ok. (więcej informacji: https://en.wikipedia.org/wiki/HTTP/2)
@Marek, cert Roberta jest od nazwa.pl, więc pewnie tam poczytał o tym, jak to strony z HTTPS są szybsze. A tutaj kontra do tego, co wypisuje sobie nazwa.pl: https://forum.rootnode.pl/topic/87-opinie-o-nazwapl/?do=findComment&comment=7471 ;)
Podsumowując – jak zawsze wszystko zależy od danego wdrożenia. :)
Nie, nie poczytałem w nazwie. :) I faktycznie średnio jestem zadowolony z obsługi tam, więc pewnie w przyszłym roku poszukam innego certyfikatu. Jeśli możecie coś polecić to poproszę (tu lub na prv).
Dlaczego nie skorzystasz po prostu z wystawionego przez Let’s Encrypt?
Może specjalista Marek (to nie jest ironia!) poda jakieś argumenty przeciw. Sam korzystam na kilku stronach i nie mam z nimi problemów.
Jedyny argument przeciw, który przychodzi mi do głowy jest taki, że trzeba go odnawiać co 3 miesiące. Oczywiście proces jest zautomatyzowany, ale trzeba umieć sobie ustawić skrypt po stronie serwera, który będzie to robił.
Poza tym same zalety.
Let’s Encrypt albo bloga wstawić za Cloudflare – wystawią darmowy certyfikat.
A z komercyjnych i tanich to chyba Comodo.
„Https sam w sobie nie wpływa na prędkość ładowania strony”
Oczywiście, że wpływa. Narzut TLSowego handshake’u, do tego czas potrzebny dla przeliczenia kryptograficznych funkcji (szyfrowanie, podpisywanie). Jak ja to mówię: praw fizyki nie oszukasz ;)
Arrr! Robert! Dlaczego piszesz, że „taka zmiana nie była w zasadzie konieczna, bo nie ma tu np. sklepu, ani innego miejsca, gdzie trzeba się logować”?
Była konieczna!
https://www.troyhunt.com/heres-why-your-static-website-needs-https/
Tylko jest drobna kwestia sprawiająca że podlinkowany wpis jest nie na temat. Niniejszy blog (jak wszystko na wp) nie jest zbudowany ze stron statycznych.
Ale co to zmienia?
„[…] transmisja między Waszym komputerem, a serwerem jest szyfrowana […]”
Czyżby autor zakładał, że wszyscy tu zaglądający dysponują tylko jednym komputerem? A co ze smartfonami? Chyba że chodzi o „my, król”, w takim razie przepraszam.
Przypominam również, że nazwy własne się odmienia („Strona może nie działać w Internet Explorerze dla Windowsa XP oraz w systemie Android 2.x.” – tak to powinno wyglądać).
Niestety jak dla mnie to strzał w stopę – nie mogę teraz otworzyć strony, wyświetlany jest komunikat: „błąd certyfikatu strony”. Szkoda…..
To jak tu wszedłeś i zostawiłeś komentarz?
A z jakiej przeglądarki i systemu korzystasz? W tym momencie problem powinni mieć tylko użytkownicy IE pod Windows XP oraz Androida 2.x. Według statystyk z poprzedniego miesiąca to jest łącznie ok. 40 osób.
> „Taka zmiana nie była w zasadzie konieczna, bo nie ma tu np. sklepu, ani innego miejsca, gdzie trzeba się logować. ”
Od czasu do czasu, pojawiały się kiedyś na tym blogu wpisy, gdzie „masakrowałeś” Robercie dziennikarzy, którzy pisali na temat czytników e-booków bez dogłębnej znajomości tematu. Ich artykuły były w najlepszym razie płytkie, w najgorszym zawierały po prostu bzdury i słusznie punktowałeś słabości każdego takiego tekstu.
Niestety doszliśmy do etapu, gdzie tym razem Ty wyraziłeś opinię, nie posiadając wystarczającej wiedzy na ten temat. Co więcej jest to zdanie nie tylko nieprawdziwe, ale i szkodliwe. Nie jestem blogerem, nie mam za bardzo weny, żeby napisać konstruktywną „masakrę” Twojej wypowiedzi (zwłaszcza, że wyprodukowałem już dłuższego posta powyżej). Dlatego krytykę pozostawię innym, mądrzejszym ode mnie: https://www.troyhunt.com/dont-take-security-advice-from-seo-experts-or-psychics-neil-patel/ (link do tego bloga już tu się wyżej pojawił, ale to jest inny artykuł).
Żeby nie było, że opieram moje wynurzenia na podstawie jakichś (chociaż nazwanie blogu Troya Hunta „jakimś” to pewne nadużycie, każdy w branży go zna) blogów – pracuję przy tworzeniu aplikacji internetowych od 8 lat, miałem udział w tworzeniu wielu stron, dla dużych korporacji, banków, itp. Moich klientów migrowałem na https zanim to się stało popularne (zanim jeszcze certyfikaty ssl stały się darmowe i zanim jeszcze pojawił się protokół http2).
Jeżeli mógłbym Cię prosić – wyedytuj to nieszczęsne zdanie, masz wielu czytelników, niektórzy z nich mają swoje strony internetowe po przeczytaniu Twojego stwierdzenia mogą zaniechać przejścia na https. To nie byłoby dobre ani dla nich ani dla ich czytelników/użytkowników.
Tylko to jest tak: to nie jest blog o administracji serwisami www, a o czytnikach i e-bookach. Nie ukrywam, że się na tym nie znam. Owszem, zajmowałem się tworzeniem stron internetowych, ale to było kilkanaście lat temu. Ponieważ wiedziałem, że przejście na https może mieć skutki uboczne, uznałem za stosowne poinformować czytelników.
Jeśli ktoś prowadzi swój serwis, informacje na tematy techniczne będzie czerpał od zawodowców takich jak Troy Hunt, a nie ode mnie.
Masz rację, że to początkowe zdanie nie było przemyślane i muszę się z niego wycofać. Zresztą jak sobie dzisiaj zrobiłem przegląd popularnych blogów, które czytam, to sporo już przeszło na https – z tym, że autor żadnego z nich tego nie ogłaszał.
Może poprawisz też błąd na temat zasobności słów we WSAP-ie i BuMato, o którym napisałem w komentarzu pod wpisem o słownikach. Oczywiście nie musisz wierzyć mi na słowo – te wartości możesz sam dość łatwo zweryfikować. Natomiast bezrefleksyjne wklejenie bełkotu wydawcy jest cokolwiek niepoważne.
Ale dlaczego ten temat poruszasz tutaj? Jeśli analizowałeś liczbę słów w obu słownikach, chętnie podam tam link do takiej analizy.
Inna sprawa, że WSAP chwilowo nie kupimy i możliwe, że ta chwila się przedłuży.
czyli nie przeczytam na k keyboardzie
szkoda
teraz niestety wszystkie maja 'bledny certyfikat’ i sie nie wyswietlaja
Sprawdziłem właśnie, że gdy zaakceptujemy certyfikat, strona się wyświetla. Niestety w przeglądarce z Keyboarda nie działa wersja mobilna, a ta „zwykła” działa bardzo wolno, ale na to nie mogę za dużo poradzić. :(
Spróbuj tak:
1.Dodaj Świat Czytników do Inoreader.
2.Odpal reabble.com na Kindlu i zaloguj się.
Może będzie działać choć trochę lepiej.
Dokładny opis był tu: https://swiatczytnikow.pl/lektura-rss-na-kindle-dwa-serwisy-keendly-oraz-reabble/
Z tym, że Keendly już nie działa :(