Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 20 von 23

Thema: Mixed Content: vbulletin-core.js wird unverschluesselt aufgerufen

  1. #1
    Neuer Benutzer
    Registriert seit
    08.01.2008
    Beiträge
    17

    Frage Mixed Content: vbulletin-core.js wird unverschluesselt aufgerufen

    Hallo zusammen,

    ich habe versucht, unser Forum auf https:// umzustellen.
    Dazu habe ich die URL der vBulletin-Installation von http:// auf https:// geaendert (sowie die "URL Ihrer Homepage").

    Das klappt zwar grundsaetzlich, jedoch wird weiterhin das "vbulletin-core.js" per http:// , also unverschluesselt aufgerufen (bzw. geblockt), wie schoen im Seitenquelltext zu sehen ist.

    Die Browser meckern dann natuerlich auch alle ueber mixed-content.

    Wo muss ich denn drehen, dass auch dieses Script verschluesselt geladen wird?

    vB Version 4.2.3, braucht ihr weitere Details?

    Ah, Ergaenzung:
    Im Seitenquelltext sehe ich auch, dass ganz oben bei "e_vb_meta_bburl" bzw. "vb_meta_url" im content lediglich http:// angegeben ist, sowie etwas spaeter bei "var BBURL = "http://dom.ain";" auch kein https:// steht.

    Danke und Gruss,

    Fori
    Geändert von Fori (10.02.2016 um 17:49 Uhr) Grund: Ergaenzung

  2. #2
    vB-Guru Avatar von Boothby
    Registriert seit
    28.09.2001
    Alter
    43
    Beiträge
    2.193
    Blog-Einträge
    1
    Vielleicht ist dein headincludes-Template nicht mehr aktuell. Die entsprechenden Zeilen daraus lauten:

    HTML-Code:
    <meta id="e_vb_meta_bburl" name="vb_meta_bburl" content="{vb:raw vboptions.bburl}" />
    ...
        var BBURL = "{vb:raw vboptions.bburl}";
    ...
    <script type="text/javascript" src="{vb:raw vboptions.bburl}/clientscript/vbulletin-core.js?v={vb:raw vboptions.simpleversion}"></script>
    Prüf das mal bitte!
    LG Stefan

    Scott me up, Beamie!!

    Unser vB: Television Board

  3. #3
    Neuer Benutzer
    Registriert seit
    08.01.2008
    Beiträge
    17
    Hi,

    vielen Dank!

    Mein Template sieht exakt so aus wie Deins.

    Und falls es hilft:
    In der MySQL Table "setting" steht im Wert "bburl" auch die URL mit https:// drin.

    Kann ich sonst noch was checken?

    Gruss,

    Fori
    Geändert von Fori (10.02.2016 um 20:54 Uhr) Grund: typo

  4. #4
    vB-Guru Avatar von Jaydee
    Registriert seit
    29.05.2008
    Ort
    ...tief im Westen....
    Alter
    57
    Beiträge
    13.372
    Ja, Du kannst

    1. prüfen, ob in den vB-Einstellungen der Punkt "URL der vBulletin-Installation immer als Basis-URL verwenden" auf "nein" steht.

    2. auch die restlichen Templates auf Aktualität und evtl. Syntax-Fehler checken.

    Ansonsten ist das Problem allgemein bei a) Google Chrome mit JS.Inhalten (sog. "unsichere Inhalte geblockt") und b) mit speziell dieser Datei bekannt.
    IB hatte offenbar vor einiger Zeit im Quelltext aus "Sicherheitsgründen" auf HTTP "hard-gecodet" und das lässt sich dann über das reine Backend nicht ändern.
    Betrifft offenbar nur diese Datei und war auch mal auf Heise zu lesen. .

    Du kannst aber mal probieren, die YUI direkt über Google oder Yahoo laden zu lassen: vB-Einstellungen -> YUI vom Yahoo!- oder Google-Server laden -> (auswählen und speichern).
    Liebe Grüße
    Jörg


    Spezifische Fragen zum MySQLDumper bitte nicht hier, sondern im MSD-Support-Forum stellen.
    Aktuell verfügbare Version: MSD 1.24.4

    Die deutsche Rechtschreibung ist Freeware. Das heißt, Du kannst sie kostenlos nutzen.
    Allerdings ist sie nicht Open Source, d.h. Du darfst sie nicht verändern oder in veränderter Form veröffentlichen.



  5. #5
    Neuer Benutzer
    Registriert seit
    08.01.2008
    Beiträge
    17
    Zitat Zitat von Jaydee Beitrag anzeigen
    Ja, Du kannst

    1. prüfen, ob in den vB-Einstellungen der Punkt "URL der vBulletin-Installation immer als Basis-URL verwenden" auf "nein" steht.
    Das steht auf "nein"

    Ansonsten ist das Problem allgemein bei a) Google Chrome mit JS.Inhalten (sog. "unsichere Inhalte geblockt") und b) mit speziell dieser Datei bekannt.
    IB hatte offenbar vor einiger Zeit im Quelltext aus "Sicherheitsgründen" auf HTTP "hard-gecodet" und das lässt sich dann über das reine Backend nicht ändern.
    Betrifft offenbar nur diese Datei und war auch mal auf Heise zu lesen. .
    Huch, was?
    Hat niemand sein Forum verschluesselt ueber https:// laufen und keine Probleme mit mixed-content?

    Auf Heise hab ich zu dem Thema eben nix gefunden...

    Danke und Gruss,

    Fori

  6. #6
    vB-Guru Avatar von Jaydee
    Registriert seit
    29.05.2008
    Ort
    ...tief im Westen....
    Alter
    57
    Beiträge
    13.372
    Habe auch gerade mal gesucht, aber den Artikel leider dort nicht mehr gefunden. Der war glaube ich auch schon von 2012.

    Anyway... dann versuche bitte mal folgendes:
    Im Template "headinclude" suche bitte noch mal die Zeile:

    HTML-Code:
    <script type="text/javascript" src="{vb:raw vboptions.bburl}/clientscript/vbulletin-core.js?v={vb:raw vboptions.simpleversion}"></script>
    {vb:raw template_hook.headinclude_javascript}
    und ersetze testweise mal mit:

    HTML-Code:
    <script type="text/javascript" src="https://deine-domain.tld/clientscript/vbulletin-core.js?v={vb:raw vboptions.simpleversion}"></script>
    {vb:raw template_hook.headinclude_javascript}
    Dann sollte es eigentlich gehen.

    Falls Du ein Unterverzeichnis (forum) nutzt, musst Du ggf. nach "deine-domain.tld" noch ein "/forum" einfügen.
    Liebe Grüße
    Jörg


    Spezifische Fragen zum MySQLDumper bitte nicht hier, sondern im MSD-Support-Forum stellen.
    Aktuell verfügbare Version: MSD 1.24.4

    Die deutsche Rechtschreibung ist Freeware. Das heißt, Du kannst sie kostenlos nutzen.
    Allerdings ist sie nicht Open Source, d.h. Du darfst sie nicht verändern oder in veränderter Form veröffentlichen.



  7. #7
    Neuer Benutzer
    Registriert seit
    08.01.2008
    Beiträge
    17
    Zitat Zitat von Fori Beitrag anzeigen
    Und falls es hilft:
    In der MySQL Table "setting" steht im Wert "bburl" auch die URL mit https:// drin.
    Der Thread ist alt, aber das Problem nach wie vor aktuell, auch wenn vB4 EOL ist.

    Wie schon geschrieben wird das "https://" aus der MySQL Table "setting" im Template "headinclude" nicht korrekt expanded, sondern es wird nur "http://" uebergeben.
    Dort manuell die Variable durch einen hardcoded String zu ersetzen funktioniert auf den ersten Blick, aber da verschiedene Styles verwendet werden, muesste es an vielen Stellen geaendert werden, sowie evtl. an dutzenden weiteren Stellen, wo die Variable "bburl" verwendet wird.

    Kann niemand definitiv erklaeren, warum die korrekte Einstellung nicht in den Templates expanded wird wie erwartet?

    Gruss,

    Fori
    Geändert von Fori (07.06.2018 um 14:25 Uhr)

  8. #8
    vBulletin-Germany Team Avatar von pogo
    Registriert seit
    01.06.2001
    Ort
    Hannover
    Alter
    43
    Beiträge
    16.379
    Blog-Einträge
    5
    Nein, kann man leider nicht einfach so erklären ohne den Patienten selbst gesehen zu haben.

    Mein Wunschzettel
    Warum du keine Anhänge herunterladen kannst!
    Suchst du Hacks, Add-ons, Modifikationen, Styles, Buttons und mehr? -> Auf zu vBGo!

  9. #9
    Neuer Benutzer
    Registriert seit
    08.01.2008
    Beiträge
    17
    Zitat Zitat von pogo Beitrag anzeigen
    Nein, kann man leider nicht einfach so erklären ohne den Patienten selbst gesehen zu haben.
    Was kann ich denn zur Diagnose liefern?

  10. #10
    vB-Guru Avatar von Jaydee
    Registriert seit
    29.05.2008
    Ort
    ...tief im Westen....
    Alter
    57
    Beiträge
    13.372
    Du schreibst von "verschiedene Styles verwendet", tritt das Problem denn in allen auf bzw. wurde das Ganze überhaupt mal mit einem unveränderten Original-Style getestet?

    Denn bis heute kann ich das in vB 4.2.3 (oder höher) unter HTTPS nirgendwo nachvollziehen.
    Hingegen gibt es schon mal andere Probleme mit namhaften Styles und "unsicheren Inhalten", aber die kann man leicht beheben (siehe z.B. meinen entspr. Thread dazu unter "Tipps & Tricks").
    Liebe Grüße
    Jörg


    Spezifische Fragen zum MySQLDumper bitte nicht hier, sondern im MSD-Support-Forum stellen.
    Aktuell verfügbare Version: MSD 1.24.4

    Die deutsche Rechtschreibung ist Freeware. Das heißt, Du kannst sie kostenlos nutzen.
    Allerdings ist sie nicht Open Source, d.h. Du darfst sie nicht verändern oder in veränderter Form veröffentlichen.



  11. #11
    vBulletin-Germany Team Avatar von pogo
    Registriert seit
    01.06.2001
    Ort
    Hannover
    Alter
    43
    Beiträge
    16.379
    Blog-Einträge
    5
    Admin und FTP-Zugang.

    Alles andere wäre wirklich Zeitverschwendung, da man nur rumraten könnte.

    Mein Wunschzettel
    Warum du keine Anhänge herunterladen kannst!
    Suchst du Hacks, Add-ons, Modifikationen, Styles, Buttons und mehr? -> Auf zu vBGo!

  12. #12
    vBGo! Team Avatar von Andreas
    Registriert seit
    14.10.2003
    Alter
    38
    Beiträge
    2.496
    Zitat Zitat von Fori Beitrag anzeigen
    Wie schon geschrieben wird das "https://" aus der MySQL Table "setting" im Template "headinclude" nicht korrekt expanded, sondern es wird nur "http://" uebergeben.
    Was in setting.value steht ist nicht das was zur Laufzeit verwendet wird, die Daten werden in den Datastore options (Tabelle datastore) aggregiert.
    Wenn dort (oder in deinem verwendeten Datastore-Cache falls Du einen einsetzt) etwas anderes steht als in der Tablle, dann kann das nicht funktionieren.

    Sollte das pasen wäre der nächste Ansatzpunkt die Web-Server-Konfiguration.
    Ist da evtl. ein Reverse-Proxy im Spiel?
    Dann könnte PHP evtl. der Meinung sein auf HTTP zu laufen => PHP-Info checken.

  13. #13
    Neuer Benutzer
    Registriert seit
    08.01.2008
    Beiträge
    17
    Hi,

    Zitat Zitat von pogo Beitrag anzeigen
    Admin und FTP-Zugang.

    Alles andere wäre wirklich Zeitverschwendung, da man nur rumraten könnte.
    leider wird das wegen der neuen EU-Datenschutzgrundverordnung nicht so einfach moeglich sein, da ich dann mit Dir einen Auftragsverarbeitungsvertrag abschliessen muesste, da in unserem Forum personenbezogene Daten verarbeitet werden und Du mit Adminrechten dann darauf Zugriff haben koenntest.

    Aber trotzdem Danke fuer das Angebot.

    - - - Aktualisiert - - -

    Hi Andreas,

    vielen Dank fuer Deine Antwort.

    Zitat Zitat von Andreas Beitrag anzeigen
    Was in setting.value steht ist nicht das was zur Laufzeit verwendet wird, die Daten werden in den Datastore options (Tabelle datastore) aggregiert.
    Wenn dort (oder in deinem verwendeten Datastore-Cache falls Du einen einsetzt) etwas anderes steht als in der Tablle, dann kann das nicht funktionieren.
    Tatsaechlich steht in der Tabelle "datastore" http://www.xxxx.de als ['bburl'] und nicht https:// wie im Admininterface konfiguriert und in der Tabelle Settings gespeichert.
    Woraus bezieht denn die Tabelle datastore ihre Werte?

    Sollte das pasen wäre der nächste Ansatzpunkt die Web-Server-Konfiguration.
    Ist da evtl. ein Reverse-Proxy im Spiel?
    Dann könnte PHP evtl. der Meinung sein auf HTTP zu laufen => PHP-Info checken.
    Es ist kein Revproxy im Spiel.

  14. #14
    vB-Guru Avatar von Jaydee
    Registriert seit
    29.05.2008
    Ort
    ...tief im Westen....
    Alter
    57
    Beiträge
    13.372
    Was ist denn nun hiermit? Das hattest Du noch nicht beantwortet (bzw. getestet).
    Liebe Grüße
    Jörg


    Spezifische Fragen zum MySQLDumper bitte nicht hier, sondern im MSD-Support-Forum stellen.
    Aktuell verfügbare Version: MSD 1.24.4

    Die deutsche Rechtschreibung ist Freeware. Das heißt, Du kannst sie kostenlos nutzen.
    Allerdings ist sie nicht Open Source, d.h. Du darfst sie nicht verändern oder in veränderter Form veröffentlichen.



  15. #15
    vBulletin-Germany Team Avatar von pogo
    Registriert seit
    01.06.2001
    Ort
    Hannover
    Alter
    43
    Beiträge
    16.379
    Blog-Einträge
    5
    Zitat Zitat von Fori Beitrag anzeigen
    Woraus bezieht denn die Tabelle datastore ihre Werte?
    Aus den Einstellungen im Administrator-Kontrollzentrum. Sobald du da etwas änderst bzw. speicherst, sollte der Datastore auch aktualsiert werden.

    Mein Wunschzettel
    Warum du keine Anhänge herunterladen kannst!
    Suchst du Hacks, Add-ons, Modifikationen, Styles, Buttons und mehr? -> Auf zu vBGo!

  16. #16
    Neuer Benutzer
    Registriert seit
    08.01.2008
    Beiträge
    17
    Zitat Zitat von Jaydee Beitrag anzeigen
    Du schreibst von "verschiedene Styles verwendet", tritt das Problem denn in allen auf bzw. wurde das Ganze überhaupt mal mit einem unveränderten Original-Style getestet?
    Ja, auch im Default-Style enthaelt bburl nur "http" und nicht "https":

    <meta id="e_vb_meta_bburl" name="vb_meta_bburl" content="http://www.xxx usw.
    [...]
    var BBURL = "http://www.xxx usw.

  17. #17
    vB-Guru Avatar von Jaydee
    Registriert seit
    29.05.2008
    Ort
    ...tief im Westen....
    Alter
    57
    Beiträge
    13.372
    Das ist ja wirklich eigenartig. Wenn Du in der Zeit jetzt mal z.B. einen Style im ACP aufgerufen und (auch ohne Änderung) neu gespeichert hast, sollte der Datastore eigentlich wie gesagt aktualisiert sein.
    Daran kann es also nicht liegen und mir fällt im Moment bestenfalls noch irgendein Add-on ein, das evtl. dazwischen funkt. Das lässt sich ja schnell prüfen (durch Deaktivieren des Plugin-Systems).

    Aber wie gesagt, das ist aus der Ferne alles nur Rätselraterei und das Verhalten etwas ungewöhnlich.
    Liebe Grüße
    Jörg


    Spezifische Fragen zum MySQLDumper bitte nicht hier, sondern im MSD-Support-Forum stellen.
    Aktuell verfügbare Version: MSD 1.24.4

    Die deutsche Rechtschreibung ist Freeware. Das heißt, Du kannst sie kostenlos nutzen.
    Allerdings ist sie nicht Open Source, d.h. Du darfst sie nicht verändern oder in veränderter Form veröffentlichen.



  18. #18
    Neuer Benutzer
    Registriert seit
    08.01.2008
    Beiträge
    17
    Zitat Zitat von Jaydee Beitrag anzeigen
    Daran kann es also nicht liegen und mir fällt im Moment bestenfalls noch irgendein Add-on ein, das evtl. dazwischen funkt. Das lässt sich ja schnell prüfen (durch Deaktivieren des Plugin-Systems).

    Aber wie gesagt, das ist aus der Ferne alles nur Rätselraterei und das Verhalten etwas ungewöhnlich.
    Auch aus der Ferne war das ein guter Tipp, denn nach dem Deaktivieren des Plugin Systems erscheint im Quelltext ploetzlich korrekt "https" als bburl bzw. vb_meta_bburl.

    Nun muss ich nur noch das entsprechende Plugin herausfinden, vielen Dank schonmal bis hierher!

    PS: Du schriebst etwas von "Deinem Thread unter Tipps+Tricks". Den Thread hab ich leider nicht gefunden, hast Du mir mal den Link?

  19. #19
    vB-Guru Avatar von Jaydee
    Registriert seit
    29.05.2008
    Ort
    ...tief im Westen....
    Alter
    57
    Beiträge
    13.372
    Das freut mich, viel mehr blieb auch als (zumindest logisch nachvollziehbare) Möglichkeit nicht mehr.

    Der Rest ist eigentlich recht einfach: Deaktiviere manuell alle Add-ons (resp. einzelne Plugins) und schalte dafür global das Plugin-System wieder ein.
    Nun nach und nach die einzelnen Add-ons aktivieren, bis der Fehler erneut auftritt (falls er es dann überhaupt noch tut). Also nach jedem einzelnen kurz testen, ob sich wieder etwas verändert hat.

    Wenn der Verursacher gefunden ist, bleibt nur noch aktualisieren oder deinstallieren des betreffenden Add-ons.


    Zitat Zitat von Fori Beitrag anzeigen

    PS: Du schriebst etwas von "Deinem Thread unter Tipps+Tricks". Den Thread hab ich leider nicht gefunden, hast Du mir mal den Link?
    Gerne, es ist dort der neuste Thread.
    Liebe Grüße
    Jörg


    Spezifische Fragen zum MySQLDumper bitte nicht hier, sondern im MSD-Support-Forum stellen.
    Aktuell verfügbare Version: MSD 1.24.4

    Die deutsche Rechtschreibung ist Freeware. Das heißt, Du kannst sie kostenlos nutzen.
    Allerdings ist sie nicht Open Source, d.h. Du darfst sie nicht verändern oder in veränderter Form veröffentlichen.



  20. #20
    Neuer Benutzer
    Registriert seit
    08.01.2008
    Beiträge
    17
    Zitat Zitat von Jaydee Beitrag anzeigen
    Der Rest ist eigentlich recht einfach: Deaktiviere manuell alle Add-ons (resp. einzelne Plugins) und schalte dafür global das Plugin-System wieder ein.
    Nun nach und nach die einzelnen Add-ons aktivieren, bis der Fehler erneut auftritt (falls er es dann überhaupt noch tut). Also nach jedem einzelnen kurz testen, ob sich wieder etwas verändert hat.

    Wenn der Verursacher gefunden ist, bleibt nur noch aktualisieren oder deinstallieren des betreffenden Add-ons.
    Genauso bin ich vorgegangen und was soll ich sagen:

    Es war ausgerechnet das Addon, welches unser Testforum als solches kennzeichnet, und das natuerlich im regulaeren Forum deaktiviert ist.
    Somit bestand das Problem nur beim Testen und waere im Betrieb gar nicht aufgefallen.

    Vielen Dank allen, die hier geholfen haben, das Problem zu finden!

Seite 1 von 2 12 LetzteLetzte

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. Allgemein - Mixed Content Frage
    Von Tobias Pohlmann im Forum vBulletin 4 Fragen und Probleme
    Antworten: 8
    Letzter Beitrag: 24.01.2016, 19:07
  2. Forum - Impressum-Tab nur mit vBulletin-Core?
    Von Nina_G im Forum vBulletin 4 Fragen und Probleme
    Antworten: 3
    Letzter Beitrag: 26.09.2013, 17:01
  3. Forum - Welcher Hook wird beim Forenstart nur einmal aufgerufen?
    Von RHS im Forum vBulletin 4 Fragen und Probleme
    Antworten: 5
    Letzter Beitrag: 08.04.2011, 10:09
  4. Forum - Template das NACH einem Posting aufgerufen wird?
    Von kesandal im Forum vBulletin 4 Fragen und Probleme
    Antworten: 9
    Letzter Beitrag: 31.01.2011, 21:30
  5. Forum wird nicht mehr aufgerufen!
    Von StOn€_9 im Forum vBulletin 3.8 Fragen und Probleme
    Antworten: 18
    Letzter Beitrag: 22.04.2009, 10:22

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •