Twitter HTTPS-en

Egy ideje nagyon komolyan vesszük, hogy a weboldalaink ne csak a bejelentkezéshez, hanem a bejelentkezés után folyamatosan HTTPS-t használjanak. Nincs kifogás, authentication cookie-t nem küldünk át HTTP-n. Persze ez mindig okoz váratlan meglepetéseket, főleg külső könyvtárak használatakor. Az egyik készülő projektünkben például az Internet Explorer az alábbi üzenettel fogadott bejelentkezés után (én mondom, élmény ezzel a böngészővel tesztelni):

IE: Only secure content is displayed.

Nem kellett sokáig keresni (elég csak rányomni a Show all content gombra), hogy kiderüljön, az oldalra helyezett Twitter widget a bűnös. Derítsük ki miért!

Elsőre egyszerűnek tűnt a megoldás, hiszen a widget kódja a http://widgets.twimg.com oldalról töltődött le. Nosza írjunk elé HTTPS-t (mint a Facebook esetén) és kész is. Hát nem, akkor ugyanis egyáltalán nem töltődik be a script az oldalon, ez tisztán látszik az IE DevTools Network fülén és Firebugban is. Annak ellenére, hogy azon a szerveren van SSL. Hm, akkor mi lehet a gond? Nézzük meg a tanúsítványt:

cloudfront-cert

Bizony, itt van az eb elhantolva! A widgets.twimg.com szerveren lévő tanúsítvány valójában a *.cloudfront.net címre szól, azaz a fájlok az Amazon CDN-jéről töltődnének le, ha tudnának. Ha ráhibáznánk a * értékére, meg is lenne oldva a probléma. Tudja-e ezt valaki?

Szerencsére van egy másik domain, ahol rendben van a tanúsítvány:

https://twitter-widgets.s3.amazonaws.com/j/2/widget.js

Itt már nem panaszkodik a böngésző.

 

Technorati-címkék: ,
Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s