Pętla przekierowań, błąd logowania, SSL, fcbshop

[MrLawrence87]

Witam,

 

w dniu dzisiejszym dostawca hostingu zainstalował mi certyfikat ssl firmy StartSSL po instalacji dostałem wiadomość że instalacja została ukończona i że potrzebuje jeszcze pośredniego CA (notabene nie mam pojęcia co to) od tego momentu sklep sam w sobie działa natomiast przy próbie zalogowania, wejścia w koszyk w przeglądarce wyświetla się informacja

 

"Strona internetowa https://www.kolorowa-szafa.pl/order spowodowała zbyt wiele przekierowań. W rozwiązaniu problemu może pomóc usunięcie plików cookie tej witryny lub zezwolenie na pliki cookie innych firm. Jeśli to nie pomoże, prawdopodobnie jest to błąd konfiguracji serwera, a nie problem z komputerem."

 

Informatycy z domena.pl coś zchrzanili czy czy to jakiś mój błąd?

Czy jest to kwestia tego pośredniego CA?

Czy może jest to kwestia modułu fcbshop który zaistalowałem i to pod niego był konieczny certyfikat SS?

 

Prosze o pomoc bo mam sparaliżowany sklep.

 

Ciasteczka usunięte.

SSL w general włączone (jak wyłączę też nie działa)

 

Pozdrawiam

[vekia]

Witam,

 

w dniu dzisiejszym dostawca hostingu zainstalował mi certyfikat ssl firmy StartSSL po instalacji dostałem wiadomość że instalacja została ukończona i że potrzebuje jeszcze pośredniego CA (notabene nie mam pojęcia co to) od tego momentu sklep sam w sobie działa natomiast przy próbie zalogowania, wejścia w koszyk w przeglądarce wyświetla się informacja

 

"Strona internetowa https://www.kolorowa-szafa.pl/order spowodowała zbyt wiele przekierowań. W rozwiązaniu problemu może pomóc usunięcie plików cookie tej witryny lub zezwolenie na pliki cookie innych firm. Jeśli to nie pomoże, prawdopodobnie jest to błąd konfiguracji serwera, a nie problem z komputerem."

 

Informatycy z domena.pl coś zchrzanili czy czy to jakiś mój błąd?

Czy jest to kwestia tego pośredniego CA?

Czy może jest to kwestia modułu fcbshop który zaistalowałem i to pod niego był konieczny certyfikat SS?

 

Prosze o pomoc bo mam sparaliżowany sklep.

 

Ciasteczka usunięte.

SSL w general włączone (jak wyłączę też nie działa)

 

Pozdrawiam

 

 

Problem nie był związany z żadnym CA jak twierdził hostingodawca, tylko z konfiguracją back office, problem rozwiązany przez wygenerowanie na nowo htaccess z wyłączoną opcją apache multiviews. Teraz jest ok

[MrLawrence87]

W życiu bym na to nie wpadł, dziękuję.

[vekia]

ależ proszę bardzo, musimy się ustawić na skype aby dokończyć te obrazki "promo", pamiętasz?

[props]

A ja chciałbym spytać dlaczego jak wejdę na stronę https://www.kolorowa-szafa.pl/order i wiele innych opartych o prestę to mój firefox woła, że "zablokował zawartość, która nie jest bezpieczna".

A uczynił to ponieważ: https://support.mozilla.org/pl/kb/wplyw-niebezpiecznej-zawartosci-na-bezpieczenstwo?as=u&utm_source=inproduct

 

Czy to więc taki "urok" presty, że ich "strony przesyłane za pomocą protokołu HTTPS zawierają treści przesyłane protokołem HTTP", czy też po prostu nietórzy użytkownicy źle coś konfigurują?

Zastanawiam się po co kupować certyfikat, skoro i tak ni ejest on w pełni bezpiecznie wykorzystywany?

[vekia]

A ja chciałbym spytać dlaczego jak wejdę na stronę https://www.kolorowa-szafa.pl/order i wiele innych opartych o prestę to mój firefox woła, że "zablokował zawartość, która nie jest bezpieczna".

A uczynił to ponieważ: https://support.mozilla.org/pl/kb/wplyw-niebezpiecznej-zawartosci-na-bezpieczenstwo?as=u&utm_source=inproduct

 

Czy to więc taki "urok" presty, że ich "strony przesyłane za pomocą protokołu HTTPS zawierają treści przesyłane protokołem HTTP", czy też po prostu nietórzy użytkownicy źle coś konfigurują?

Zastanawiam się po co kupować certyfikat, skoro i tak ni ejest on w pełni bezpiecznie wykorzystywany?

 

wszyscy zostali zaskoczeni tym blokowaniem mixed-content bo zmiany były wprowadzane bez większego rozgłosu. 

 

w tym przypadku tj. kolorowej szafy to kwestia tego, że templatka powstała dawno temu, a przeglądarki wprowadziły filtrowanie treści dopiero w tym roku, firefox w kwietniu, chrome i inne nieco później. 

 

stąd "stare" templatki nie są dostosowane do aktualnych ustawień przeglądarek. 

Ten template ładuje fonty z googla za pośrednictwem zwykłego http

 

 

 

Wpadki tego typu zwykle dotyczą zewnętrznych modułów, modyfikacji itp. Niewiele osób wciąż sobie zdaje sprawę z problemu blokowania mixed-content.

 

Jeżeli chodzi o problemy stricte związane z core, to:

- mapa google w lokatorze sklepów  (w kolejnej wersji naprawione)

- akceptacja regulaminu w trakcie składania zamówienia (link do czytaj reguamin ładuje zwykłe http)  (w kolejnej wersji naprawione)

- w back office ładowanie obrazków gamifikacji zwykłym http  (w kolejnej wersji naprawione)

- w niektórych przypadkach zwiększanie / zmniejszanie quantity w koszyku  (w kolejnej wersji naprawione)

- 

[props]

Dziękuję za odpowiedź. Chciałbym jednak jeszcze kawałek podrążyć

Czy zatem nowa wersja 1.5.6, moduł defaultowy jest już odporna na ten problem?

Pytam bo właśnie przymierzam się nad kupnem certyfikatu.

Jeśli nie jest jeszcze całkiem bezpieczna, to czy dużo jest pracy, dużo zmian trzeba w core zrobić żeby bezpieczna w końcu była?

[vekia]

bezpieczeństwo to pojęcie względne

certyfikat jak kupisz, to w prestashop spełni on wszystkie "założenia" związane z wykorzystywaniem tego certyfikatu.

Bezpieczny ma być formularz rejestracji, logowania oraz wszystkie inne strony gdzie użytkownik wprowadza jakieś dane. Wszystkie te strony są zabezpieczone poprawnie. To z czym jest problem, to fakt, że prestashop ładowała treści bez certyfikatu takie jak obrazki, iframe, czy skrypty .js. A one z bezpieczeństwem nie mają nic wspólnego. Powiem więcej, czasami, niektóre z modułów nie są przystosowane do aktualnych standardów związanych z ssl, stąd wystarczy mieć jeden felerny moduł, i już przeglądarka będzie się sadziła o to, że ładowane są niezabezpieczone treści. Stąd też padlock był przekreślony. I to nie jest kwestia problemów w prestashop, tylko pomysłowych przeglądarek którym nagle zachciało się filtrować treści

 

moim zdaniem kupno certyfikatu i jego instalacja spełnia swoje założenia w zupełności.

[Skarbona]

Problem nie był związany z żadnym CA jak twierdził hostingodawca, tylko z konfiguracją back office, problem rozwiązany przez wygenerowanie na nowo htaccess z wyłączoną opcją apache multiviews. Teraz jest ok

Witam,

 

Mam podobny problem.

Strona na blink.pl(od Ogicom.pl). Na serwerze zapłaciłem za certyfikat, po jego uzyskaniu dostałem info na maila, że mam zmienić rekordy A. Zrobiłem.

 

No i pojawił się problem.

 

Strony z koszyk, zamówieniem, logowaniem nie działają:

 

Wyskakują różne błędy:

 

"Nieprawidłowe przekierowanie

Firefox wykrył, że serwer przekierowuje żądanie tego zasobu w sposób uniemożliwiający jego ukończenie. Problem ten może się pojawić w wyniku zablokowania lub odrzucenia ciasteczek."

 

albo ten błąd opisywany wcześniej z pętlą przekierowań.

 

Próbowałem włączyć/wyłączyć opcję Apache's MultiViews, Multistore, wymuszenia SSL( w różnych konfigurcjach ). Czyściłem też pamięć podręczną.

 

Błąd pojawia się nadal. Ma może ktoś jakiś pomysł?

 

Adres sklepu: kra-kra.pl

[vekia]

Witam,

 

Mam podobny problem.

Strona na blink.pl(od Ogicom.pl). Na serwerze zapłaciłem za certyfikat, po jego uzyskaniu dostałem info na maila, że mam zmienić rekordy A. Zrobiłem.

 

No i pojawił się problem.

 

Strony z koszyk, zamówieniem, logowaniem nie działają:

 

Wyskakują różne błędy:

 

"Nieprawidłowe przekierowanie

Firefox wykrył, że serwer przekierowuje żądanie tego zasobu w sposób uniemożliwiający jego ukończenie. Problem ten może się pojawić w wyniku zablokowania lub odrzucenia ciasteczek."

 

albo ten błąd opisywany wcześniej z pętlą przekierowań.

 

Próbowałem włączyć/wyłączyć opcję Apache's MultiViews, Multistore, wymuszenia SSL( w różnych konfigurcjach ). Czyściłem też pamięć podręczną.

 

Błąd pojawia się nadal. Ma może ktoś jakiś pomysł?

 

Adres sklepu: kra-kra.pl

 

 

faktycznie, jest tam problem z działaniem

bez włączonego ssl wszystko działa poprawnie?

[Skarbona]

Wcześniej na sklepie wszystko działało bez zarzutu...

 

Hosting polecił dodać do htaccess:

RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Proto} =https
RewriteRule .* - [L]

 

Ale oczywiście nie ma poprawy.

 

EDIT 1.

BTW Panel Administracyjny działa.

 

EDIT 2.

Całkowite wyłączenie SSL powoduje, że sklep działa(zamówienia, logowanie itp), ale no właśnie, po co mi wtedy certyfikat...Gdyby przeglądarki nie blokowały tego jeszcze...

A zarazem wymuszenie SSL na całej stronie powoduje, że nawet strona główna przestaje działać. Więc gdzie szukać przyczyny?

Edited March 19, 2015 by Skarbona (see edit history)

[hatak]

spróbuj tak 

 

SetEnvIf X-Forwarded-Proto ^https$ HTTPS

 

 

bez regulki rewrite

[Skarbona]

spróbuj tak 

 

SetEnvIf X-Forwarded-Proto ^https$ HTTPS

 

 

bez regulki rewrite

 

SUPER! Problem rozwiązany. Będę testować, ale na tą chwile wszystko wygląda ok.

 

EDIT.

 

Dziękuje

Edited March 20, 2015 by Skarbona (see edit history)

[jacula]

On 10/31/2013 at 8:22 AM, vekia said:

 

 

Problem nie był związany z żadnym CA jak twierdził hostingodawca, tylko z konfiguracją back office, problem rozwiązany przez wygenerowanie na nowo htaccess z wyłączoną opcją apache multiviews. Teraz jest ok

W pewnym momencie przy wejściu na mój sklep https://nitrox.pl zaczął sie wyświetlać komunikat "Strona nitrox.pl spowodowała zbyt wiele przekierowań."

Zastosowałem Twoją radę, ale nic to nie dało. Czy jest coś jeszcze czego mogę spróbować?