La mine a mers pana cand s-a blocat, si cand am bagat din nou adresa a sarit singur pe https.

Daca ma autentific cu HTTPS si apoi intru cu linkul de HTTP, sunt delogat din HTTPS. Asta nu ar trebui sa se intample, ar trebui sa fiu redirectionat automat la HTTPS.

Si acum nu inteleg de ce mai exista HTTP, nu e nici un motiv sa nu folosesti HTTPS, chiar si daca nu esti autentificat. HTTP-ul ar trebui sa redirectioneze automat la HTTPS, una lume mai are site-ul si la favorite, nu sta sa scrie adresa de fiecare data.

Astea sunt mici chichite foarte enervante pentru utilizatori.

Domnilor,

Clear cache + Clear History la browser apoi va logat numai pe https://
Merge brici din orice browser!

Eu iti garantez ca nu merge ( cu tot cu cache curatat).

testat pe firefox si IE.

Loghezi pe HTTPS, bifezi autentificare automata, navighezi din acelasi tab la adresa vechie de HTTP
1) Nu te redirectioneaza la HTTPS, asa cum ar trebui

2) daca mergi iar la HTTPS, trebuie sa te loghezi din nou.

Studiez problema.

Eu am intrat pe bookmark-ul cu http pe care îl aveam și nu m-a redirecționat pe SSL. Am pus eu https,încă sunt logat și nu a dispărut faviconul. Totul merge perfect.

Poate in viitor când înțelege toată lumea de ce e mai bine cu https și se obișnuiește cu el îl faci din htaccess SSL-only cu redirect global. E mai safe și pentru cine nu știe sa își actualizeze URL-ul din marcaje sau rămas în istoric.

Also, eu îmi pun shortcut pe launcherul telefonului (cu add to homescreen din Chrome). Nu văd faviconul ci doar inițiala 'M' pusă implicit.

Poate încerci un:

<link rel="icon" sizes="128x128" href="whatever/path/to/hires.png">

Cu ocazia asta ar merge și un icon la rezoluție puțin mai mare și transparență (alpha channel png fără chenarul alb)... Că mai contează și detaliile deși nu e nimic urgent

Redirect la HTTPS urma sa fac cand ajung acasa. Rabdare, va rog

Cu faviconul intram deja in fineturi (desi de principiu ai dreptate).

Legat de diferenta dintre http si https... un server poate tine doua siteuri diferite pe acelasi domeniu cu protocoale diferite deci daca va tine minte sesiunea cand treceti de la una la alta, e doar o intamplare. Normal e sa nu.

Da dar unele cookie pot avea parametru de secure/insecure only. Deci depinde și cu ce TTL și flag le-a trimis platforma, și cum a interpretat versiunea de browser (dacă să expună sau nu IDul sesiunii serverului pe alt protocol). De asta variază rezultatele

Civintele (majoritatea...) par sa fie din limba romana.
De ce naiba nu inteleg aproape nimic ?....

Treaba e ca nu se pupa bine cookiurile intre ele.
Cel mai bine e sa fie HTTPS complet. Daca site-ul poate fi accesat si cu HTTP si cu HTTPS, se deschid portite de atac.

HTTP ar trebui sa redirectioneze la HTTPS. HTTP e pana la urma un simplu protocol de transmitere a datelor pe portul 80. Ai 60k+ porturi de ales daca vrei sa ai o versiune interna de debug a site-ului, si lumea nu o sa intre pe versiunea ta de test din greseala folosid favoritele sau istoria browserului. Nu toata lumea citeste thread-ul asta ca sa stie ca s-a trecut de la HTTP la HTTPS.

La mine a revenit la normal de ceva ore. Nu mai am nicio problema.

mcosmin wrote:
Treaba e ca nu se pupa bine cookiurile intre ele.
Cel mai bine e sa fie HTTPS complet. Daca site-ul poate fi accesat si cu HTTP si cu HTTPS, se deschid portite de atac.

HTTP ar trebui sa redirectioneze la HTTPS. HTTP e pana la urma un simplu protocol de transmitere a datelor pe portul 80. Ai 60k+ porturi de ales daca vrei sa ai o versiune interna de debug a site-ului, si lumea nu o sa intre pe versiunea ta de test din greseala folosid favoritele sau istoria browserului. Nu toata lumea citeste thread-ul asta ca sa stie ca s-a trecut de la HTTP la HTTPS.

Subscriu. De fapt de asta intrasem aici: sa recomand ca daca tot avem https functional, orice http sa redirectioneze in https. Cu putina atentie la performanta serverelor, desigur.

Asta am recomandat și eu mai sus.

Performanța nu va fi afectată de trecerea pe https only oricum, ce probleme a mai avut găzduirea au fost de la coruperea unor tabele la baza de date, dacă e să se mai întâmple se întâmplă și cu SSL și fără SSL, nu-i bai.

Problema nu e numai de sesiuni și cookie-uri mixte, ci și de felul în care un site mixt http + https (non-strict / neredirecționat) e nesigur în momentul în care cineva face un atac de tip MITM (man in the middle) prin spoofing de ARP sau DNS, mai exact: utilizatorul intră pe https dar rețeaua locală (de exemplu un wifi public) a fost compromisă, iar hackerul a simulat că el este router-ul sau autoritatea numelor de domeniu iar acum traficul de net este interceptat de dispozitivul lui. Dacă la nivel de server nu s-a restricționat traficul plain http, s-ar putea interveni asupra requesturilor încât să fie nesecurizate deși ele s-au cerut via https (serverul nu va respinge). Deci dacă e https ar trebui să fie total https, oricum Costin a zis că va face asta și avem răbdare.

Cât timp am stat fără SSL, nu disperă nimeni după redirect. Ușor, ușor se vor rezolva toate.

Bravo echipei  

E in lucru. Asta am vrut de la bun inceput, dar dureaza ca nu e foarte clar ce trebuie facut (pentru cei mai tehnici, mod_rewrite in fisierul .htaccess nu merge, mai sap si in acelasi timp am semnalat problema si la hosting. Noi nu avem acces direct la serverul Apache, deci nu ma pot juca pe-acolo cum as avea chef...) In plus, nu ma pot ocupa deloc de problema decat de acasa (la munca am un VPN dubios si restrictiv, nu ma lasa nici in cpanel, nici nu permite conexiuni ftp).