Twitter HTTPS-en

Egy ideje nagyon komolyan vesszük, hogy a weboldalaink ne csak a bejelentkezéshez, hanem a bejelentkezés után folyamatosan HTTPS-t használjanak. Nincs kifogás, authentication cookie-t nem küldünk át HTTP-n. Persze ez mindig okoz váratlan meglepetéseket, főleg külső könyvtárak használatakor. Az egyik készülő projektünkben például az Internet Explorer az alábbi üzenettel fogadott bejelentkezés után (én mondom, élmény ezzel a böngészővel tesztelni):

IE: Only secure content is displayed.

Nem kellett sokáig keresni (elég csak rányomni a Show all content gombra), hogy kiderüljön, az oldalra helyezett Twitter widget a bűnös. Derítsük ki miért!

Elsőre egyszerűnek tűnt a megoldás, hiszen a widget kódja a http://widgets.twimg.com oldalról töltődött le. Nosza írjunk elé HTTPS-t (mint a Facebook esetén) és kész is. Hát nem, akkor ugyanis egyáltalán nem töltődik be a script az oldalon, ez tisztán látszik az IE DevTools Network fülén és Firebugban is. Annak ellenére, hogy azon a szerveren van SSL. Hm, akkor mi lehet a gond? Nézzük meg a tanúsítványt:

cloudfront-cert

Bizony, itt van az eb elhantolva! A widgets.twimg.com szerveren lévő tanúsítvány valójában a *.cloudfront.net címre szól, azaz a fájlok az Amazon CDN-jéről töltődnének le, ha tudnának. Ha ráhibáznánk a * értékére, meg is lenne oldva a probléma. Tudja-e ezt valaki?

Szerencsére van egy másik domain, ahol rendben van a tanúsítvány:

https://twitter-widgets.s3.amazonaws.com/j/2/widget.js

Itt már nem panaszkodik a böngésző.

 

Technorati-címkék: ,

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s