HTTPS - Browser hält Verbindung für nicht sicher

Lothar 2017-12-01 23:02:43 UTC #1

Ja , nachdem die 17.1 jetzt so gut läuft, frage ich mal was ganz anderes.
Der browser (firefox 57.0) zeigt beim start von egroupware immer schön ein grünes Schloss an.
Während der der Sitzung wechselt es aber meistens zu “Verbindung ist nicht sicher”.
Zuverlässig läßt es sich beim Aufruf der “Lesezeichen” erreichen.
Bei anderen Anwendungen wird das “grüne Schloss” durch einen Reloadaufruf des browsers wiederhergestellt.
Was ist da los ?

Lothar

RalfBecker 2017-12-02 01:26:27 UTC #2

Hallo Lothar,

Das ist ein mix-content Warning, dh. die https gesicherte Seite lädt Teile per http.

Für Lesezeichen kann ich mir das gut erklären, da dort div Favicons von der URL geladen, die Du eingegeben hast, sprich das kann halt auch http sein. Könnten wir dadurch lösen, das wir z.B. ein Thumbnail davon erzeigen das automatisch gecached wird und von EGw selbst dann per https ausgeliefert wird.

Für den Rest der EGroupware sollte das nie der Fall sein!
Außer Du verursachst es selbst durch ein Logo das per http geladen wird.
Kannst Du beim nächste mal, wenn das außerhalb der Lesezeichen auftritt, auf die Javascript Konsole gehen und den genauen Fehler hier posten.

Ralf

Lothar 2017-12-02 07:24:00 UTC #3

Hallo Ralf,

AndreS 2017-12-02 11:55:51 UTC #4

Hallo Lothar,
kleine Ergänzung, falls Du die Konsole suchst. Ich habe sie auch mal lange Suchen müssen, weil sie beim Firefox jetzt anders heisst. Du findest die Konsole unter:

“Extras” -> “Web-Entwickler” -> "Web-Console"
Da sind alle Einträge drunter, nicht nur Javascript, sondern auch css usw. Wenn Du in dem Feld “Ausgabe filtern” (da kann man reinklicken!) “js” eingibst, werden nur Fehler durch Javascript-Dateien angezeigt.

Quelle: https://developer.mozilla.org/de/docs/Tools/Web_Konsole#Die_Web-Konsole_öffnen

lg AndreS

Lothar 2017-12-02 12:22:00 UTC #5

Hallo Ralf

ja hier ist das Fehlerchen klar zuerkennen.

Modul Mail

Loaded data

Object { etemplate_exec_id: “mail_lothar_KCY5R862GeHW3fjlofRf8uk6H/fNTxo5L9RFYB1__PM=”, app_header: null, content: {…}, sel_options: {…}, readonlys: , modifications: {…}, validation_errors: , langRequire: […], currentapp: “mail” }

egw_debug.js:347:5

Loading mail.index into #mail-index

etemplate2.js:386:3

Loaded data

Object { content: {…} }

egw_debug.js:347:5

Loading into #egw_tutorial_mail_sidebox

Content Security Policy: Die Direktive ‘frame-src’ sollte nicht mehr verwendet werden. Bitte verwenden Sie stattdessen die Direktive ‘child-src’.

Widget class registered for nextmatch-taglistheader will be overwritten.

egw_debug.js:353:5

egw: 239.01ms

egw.js:214:56

Content Security Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf self blockiert (“script-src https://xxxxxx.yyyyyy.de ‘unsafe-eval’”). Source: onfocusin attribute on DIV element.

index.php

Content Security Policy: Die Direktive ‘frame-src’ sollte nicht mehr verwendet werden. Bitte verwenden Sie stattdessen die Direktive ‘child-src’.

Gemischte (unsichere) Anzeige-Inhalte von “http://help.egroupware.org/user_avatar/help.egroupware.org/ralfbecker/45/1307_1.png” werden auf einer sicheren Seite geladen

[Weitere Informationen]

index.php

Gemischte (unsichere) Anzeige-Inhalte von “http://help.egroupware.org/user_avatar/help.egroupware.org/ralfbecker/45/1307_1.png” werden auf einer sicheren Seite geladen

[Weitere Informationen]

index.php

Widget class registered for nextmatch-taglistheader will be overwritten.

egw_debug.js:353:5

egw: 176.8ms

egw.js:214:56

index.php

Oh der Text unter der alten Nachricht wird im Forum ignoriert, deshalb vorher nur “Hallo Ralf”

Lothar

RalfBecker 2017-12-02 14:03:47 UTC #6

Das sind die Bilder/URLs aus der Mail die Du anschaust, hier unseres Forums.

Hmm, muss ich mal schauen, ob wir irgendwie abstellen können, dass FF dafür eine mixed Content Warnung gibt, Chrome macht das z.B. nicht.

Ralf