HTTP ipv HTTPS? Is HTforum nog veilig?

Started by Sjaak_Banaan, March 9, 2017, 14:47:42

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

oud_account_1

Quote from: roland p on April  6, 2020, 11:51:11
Alleen links naar https://... toestaan? Zo heeft Kingpin het toch ook opgelost?
Nee, alleen images uploaden naar de htforum site.
Er wordt bij het ophalen vh plaatje informatie meegestuurd van de browser naar de site waar het plaatje gehost wordt.
"The test of the machine is the satisfaction it gives you. There isn't any other test. If the machine produces tranquility it's right. If it disturbs you it's wrong until either the machine or your mind is changed."
― Robert M. Pirsig, Zen and the Art of Motorcycle Maintenance: An Inquiry Into Values

roland p

Quote from: squadra on April  6, 2020, 14:18:59
Nee, alleen images uploaden naar de htforum site.
Er wordt bij het ophalen vh plaatje informatie meegestuurd van de browser naar de site waar het plaatje gehost wordt.
Ja da's waar ook, tracking ellende etc.
JVC DLA-HD350 - Tag Mclaren AV32R DP 100x5r - Polkaudio®

Kingpin

Quote from: squadra on April  6, 2020, 14:18:59
Er wordt bij het ophalen vh plaatje informatie meegestuurd van de browser naar de site waar het plaatje gehost wordt.
Niet als je het directe plaatje (jpg, png extensie) link hebt.
Mainset : Kingpin TVC Preamplifier, Kingpin Tripath Amplifier, Logitech Squeezebox Touch, Kingpin Touch LiPo Power Supply, Metrum NOS DAC Quad, Kingpin Metrum Power Supply, MiniDSP DDRC-22D, Kingpin miniDSP Power Supply, Kingpin Power Distribution System, Audio Physic Brilon 2.0, Audio Physic Luna I, Apogee Wyde Eye, Copulare Zonal Rack

Kingpin

Quote from: J.A.F._Doorhof on April  6, 2020, 13:49:22
daarnaast is het hele certificaat gebeuren ook al weer achterhaalt
Vertel ?
Mainset : Kingpin TVC Preamplifier, Kingpin Tripath Amplifier, Logitech Squeezebox Touch, Kingpin Touch LiPo Power Supply, Metrum NOS DAC Quad, Kingpin Metrum Power Supply, MiniDSP DDRC-22D, Kingpin miniDSP Power Supply, Kingpin Power Distribution System, Audio Physic Brilon 2.0, Audio Physic Luna I, Apogee Wyde Eye, Copulare Zonal Rack

oud_account_1

Quote from: Kingpin on April  6, 2020, 17:27:40
Niet als je het directe plaatje (jpg, png extensie) link hebt.
Dat waag ik te betwijfelen, daarmee zou de server gelimiteerd worden mbt beschikbare headers om het juiste bericht op te halen of te genereren.
Het lijkt me niet dat een browser de aanname zou mogen doen dat niet alle headers nodig zijn.
Ik zal het eens onderzoeken als ik genoeg tijd heb (morgen dus :) )
"The test of the machine is the satisfaction it gives you. There isn't any other test. If the machine produces tranquility it's right. If it disturbs you it's wrong until either the machine or your mind is changed."
― Robert M. Pirsig, Zen and the Art of Motorcycle Maintenance: An Inquiry Into Values

Kingpin

Quote from: squadra on April  6, 2020, 17:58:51
Dat waag ik te betwijfelen, daarmee zou de server gelimiteerd worden mbt beschikbare headers om het juiste bericht op te halen of te genereren.
Het lijkt me niet dat een browser de aanname zou mogen doen dat niet alle headers nodig zijn.
Ik zal het eens onderzoeken als ik genoeg tijd heb (morgen dus :) )
Een 'direct link' naar het externe plaatje zou niets van doen moeten hebben met de 'header info' van de externe site. Immers er wordt glinkt naar de jpg,png whatever en niet naar een html,php bestand waar het plaatje instaat.
Mainset : Kingpin TVC Preamplifier, Kingpin Tripath Amplifier, Logitech Squeezebox Touch, Kingpin Touch LiPo Power Supply, Metrum NOS DAC Quad, Kingpin Metrum Power Supply, MiniDSP DDRC-22D, Kingpin miniDSP Power Supply, Kingpin Power Distribution System, Audio Physic Brilon 2.0, Audio Physic Luna I, Apogee Wyde Eye, Copulare Zonal Rack

oud_account_1

Quote from: Kingpin on April  6, 2020, 18:17:37
Een 'direct link' naar het externe plaatje zou niets van doen moeten hebben met de 'header info' van de externe site. Immers er wordt glinkt naar de jpg,png whatever en niet naar een html,php bestand waar het plaatje instaat.
Nee, er is geen regel die zegt dat het een bestand op een schijf moet zijn, het staat de server vrij om zelf een afbeelding te genereren of ergens vandaan te halen.
Zoals gezegd, morgen meer. Eerst hardlopen/slapen :)
"The test of the machine is the satisfaction it gives you. There isn't any other test. If the machine produces tranquility it's right. If it disturbs you it's wrong until either the machine or your mind is changed."
― Robert M. Pirsig, Zen and the Art of Motorcycle Maintenance: An Inquiry Into Values

Kingpin

Quote from: squadra on April  6, 2020, 18:25:18
Nee, er is geen regel die zegt dat het een bestand op een schijf moet zijn, het staat de server vrij om zelf een afbeelding te genereren of ergens vandaan te halen.
Als het bestand niet fysiek op schijf staat dan kan het alleen uit een database komen.
Bestanden, foto's in databases opslaan komt vanwege technische redenen weinig voor.
Maar stel dat dit wel het geval,is dan heb je idd met header info te maken om het plaatje uit de database te trekken.
Mainset : Kingpin TVC Preamplifier, Kingpin Tripath Amplifier, Logitech Squeezebox Touch, Kingpin Touch LiPo Power Supply, Metrum NOS DAC Quad, Kingpin Metrum Power Supply, MiniDSP DDRC-22D, Kingpin miniDSP Power Supply, Kingpin Power Distribution System, Audio Physic Brilon 2.0, Audio Physic Luna I, Apogee Wyde Eye, Copulare Zonal Rack

oud_account_1

Quote from: Kingpin on April  6, 2020, 18:31:30
Als het bestand niet fysiek op schijf staat dan kan het alleen uit een database komen.
Bestanden, foto's in databases opslaan komt vanwege technische redenen weinig voor.
Maar stel dat dit wel het geval,is dan heb je idd met header info te maken om het plaatje uit de database te trekken.
Het plaatje kan ook dynamisch gegenereerd worden.
De client weet niet welke headers de server gebruikt, dus zal alle headers meesturen die normaal ook worden meegestuurd.
En als de server dan ook nog meegeeft dat de response (het plaatje) niet gecached mag worden, dan zal de client zich daar meestal netjes aan houden en iedere keer dat het getoond moet worden een nieuw request naar de server sturen. Nuttige info voor tracking.

Ik heb voor de test even een bin aangemaakt op requestbin.net .
Daarin zie ik de hieronder getoonde headers meekomen.
De Get zelf wordt in dit lijstje niet getoond en ik heb IP adressen etc. verwijderd.

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:74.0) Gecko/20100101 Firefox/74.0
Connect-Time: 2
Cf-Ipcountry: NL
X-Forwarded-For: a.a.a.a, b.b.b.b
X-Forwarded-Port: 80
Cdn-Loop: cloudflare
Accept-Language: en-GB,en;q=0.5
Via: 1.1 vegur
Cf-Connecting-Ip: a.a.a.a
X-Forwarded-Proto: http
Connection: close
Total-Route-Time: 0
Accept: image/webp,*/*
X-Request-Id: 39d05ed4-e8a9-43dc-8f88-123a5ebd8dc6
Cookie: session=xxx
X-Request-Start: 1586248087029
Accept-Encoding: gzip
Cf-Visitor: {"scheme":"http"}
Host: requestbin.net
Dnt: 1
Cf-Ray: 58025f8c7df8c8cb-AMS

Leuk is dat SMF zelf ook een request doet bij het opslaan vh profiel.
Mogelijk om foutmeldingen (404 etc.) te vangen.
User-Agent: PHP/SMF
Connect-Time: 0
Cf-Ipcountry: NL
X-Forwarded-For: x.x.x.x,x .y.y.y.y
X-Forwarded-Port: 80
Cdn-Loop: cloudflare
Via: 1.1 vegur
Cf-Connecting-Ip: x.x.x.x
X-Forwarded-Proto: http
Connection: close
Total-Route-Time: 0
Host: requestbin.net
X-Request-Start: 1586246454456
Accept-Encoding: gzip
Cf-Visitor: {"scheme":"http"}
X-Request-Id: 460ff670-16b3-444b-906a-3f96aea079b7
Cf-Ray: 580237b23ce4bd8c-AMS
"The test of the machine is the satisfaction it gives you. There isn't any other test. If the machine produces tranquility it's right. If it disturbs you it's wrong until either the machine or your mind is changed."
― Robert M. Pirsig, Zen and the Art of Motorcycle Maintenance: An Inquiry Into Values

MaxxMark

Quote from: Kingpin on April  6, 2020, 17:28:24
Vertel ?

Ik ben ook wel benieuwd waar Frank op doelt met dat ssl-certificaten ondertussen zijn achterhaald :)
Arcam AVR850  + Yamaha RX-V3800 - Martin Logan Fresco 7.1.4 - Velodyne DD15 - HDI Dune 3.0 Prime / Dune 4K Pro - JVC N7 - Screen Excellence 21:9 (320cm breed) - Mijn eerste HT -  Mijn tweede HT@mark_prins - www.markprins.com

J.A.F._Doorhof

Volgens mij was er al weer strijd omdat het schijnveiligheid opwekt. We hebben in ieder geval al onze sites op https .
www.hometheater.nl   /   ISF & HAA certified
Custom installer

Volledige ISF calibraties inclusief HDR en 4K.

"Omdat je je iets niet kan voorstellen betekent dat niet dat het niet kan gebeuren"