Lähdekoodin vaaroja

[Seppo Jyrkinen]

Etsiydyin eilen erään kauneushoitolan sivuille. Ja se ei johtunut siitä, mikä aamuisin möllöttää peilistä vastaan, vaan ajattelin ehdotella sivuston uusintaa. Vanhasta rutiinista vilkaisin lähdekoodia. Chrome näytti sen ongelmitta, mutta Firefox ilmoitti, että "Varoitus: mahdollinen tietoturvariski" ja kun klikkasin lisätietoja, niin se kertoi, että "Virhekoodi: SSL_ERROR_BAD_CERT_DOMAIN"
 
Vaan eihän aikamies varoituksista piittaa. Lisäksi on tyystin mahdotonta, että lähdekoodin katseluun voisi mitenkään liittyä riski. Rohkea rokan syö, uhkarohkea kouluruokaa. Otin riskin ja klikkasin lähdekoodin auki.
 
Esiin tuli aivan normaalin näköistä nuolenpääkirjoitusta, mutta, mutta... descriptionissa ja muuallakin tarjottiin sähköasennuksia, vaikka olin avannut kauneushoitolan sorsakoodin. Nauraa hekottelin, että nyt olivat pojat kopioineet sähköfirman sivut, mutta eivät olleet osanneet siivota head-osiota. Sammutin lähdekoodisivun ja totesin, että kauneushoitolahan se edelleen siinä. Klikkasin hoitolan yhteystietolinkkiä ja päädyin sähkömiesten sivustoon. Lakkasin hekottelemasta.
 
Osoiterivillä luki edelleen pääkaupunkiseudulla toimivan kauneushoitolan www-osoite, mutta sähköasentajat puuhasivat Pohjois-Suomessa. Allekirjoittaneella heitti tyhjää. Olen joskus nähnyt vastaavaa, mutta se oli historian aamuhämärissä ja johtui kehysten käytöstä, mitä minä en tietänyt.
 
Tarkistelin molempien sivujen lähdekoodia. Molemmat sivut ovat samalla operaattorilla, joka tarjoaa tee-itse mekanismia. On pojilla menneet piuhat solmuun.
 
Miksi Firefox tällaisen sallii, on sitten se isompi kysymys. En tunne tätä tekniikkaa pätkän vertaa, mutta selain ei saisi sotkea kahden eri sivuston sorsakoodeja keskenään. Onko niin, että Firefoxilta on paukut loppuneet kesken ja vajavaista toimintaa paikataan varoituksilla?
 
Ainakin operaattorille on syytä kertoa, mutta mahtaako kuulua Trafille? Kauneushoitolan yrittäjä on kyllä avuton tällaisen edessä, joskin häntäkin pitänee informoida.

[qwertyy]

En usko kyllä sekuntiakaan, että Firefox mitään siellä sekoilisi. Kuulostaa vain ihan selkeästi hätäisesti tehdyltä sivustolta ja tullut kunnon kämmi tekijälle.

[kaulahuivi]

Vika ei ole selaimessa, vaan sivujen tekijässä!

[Seppo Jyrkinen]

Selaimet ovat eri yritysten tuotteita ja niissä on erilaisia ominaisuuksia, mikä on itsestään selvää. CIU (https://caniuse.com/) on hyvä palvelu. Joskus aikoinaan yhdessä selaimessa punainen väri oli toisessa selaimessa oranssi. Microsoftin ohjelmat peräti tuottivat standardin vastaista koodia, mutta onneksi se on painunut manan majoille. No, ehkä joissain alikehittyneissä maissa sitä yhä käytetään.

Nyt löytyi toinenkin tapaus, jossa Firefox ja Chrome toimivat eri tavoin. Erään yrityksen sivut ovat Bootstrappia ja Javascriptiä pullollaan. Ne eivät tule lainkaan esiin Firefoxilla, mistä eilen informoin firman toimaria. Tänään totesin, että ei näy vieläkään, mutta kun katsoin Chromella, niin sivu toimii. Ero aiheutuu ilmeisesti SSL-salauksen erilaisesta käsittelystä.

Chrome näyttää sivun ilman salausta, eli http: muodossa. Jos naputtelee omin sormin https: niin sivu on puhdas blanco. Lähdekoodissa höpistään frameista. Firefox taasen tarjoaa blancoa ja jos kirjoittaa http: niin se muuttaa sen väkisin muotoon https: eikä mitään tule näkyviin.

Olen käyttänyt Firefoxia Netscape-vainajan päivistä lähtien, mutta nyt pohdiskelen ihan tosissani Chromen käytön lisäämistä. Periaatteessa vastustan jyrkästi monopolien tukemista, sillä se iskee aikanaan kipeästi omaan nilkkaan, mutta kun selain on työkalu. Chromen markkinaosuus on jossain 80-90% tietämissä. Sylettää.

[kamara]

Chrome näyttää sivun ilman salausta, eli http: muodossa. Jos naputtelee omin sormin https: niin sivu on puhdas blanco. Lähdekoodissa höpistään frameista. Firefox taasen tarjoaa blancoa ja jos kirjoittaa http: niin se muuttaa sen väkisin muotoon https: eikä mitään tule näkyviin.

Veikkaisin ongelman ratkaisemiseen on todennäköisesti kolme vaihtoehtoa...

1. sivuston pitäjä korjaa sivut. (Siis laittaa sivut näkyviin myös http:lla)
2. Säädät Firefoxin asetuksia about:config:sta s.e. se osaa avata kyseisellä sivulla http:nä. (En tosin löytänyt vipua, jota muuttaa, enkä uskaltanut kokeilla, kun ei ole referenssiä.)
3. Käytät Chrome-pohjaista selainta.

[qwertyy]

Olen käyttänyt Firefoxia Netscape-vainajan päivistä lähtien, mutta nyt pohdiskelen ihan tosissani Chromen käytön lisäämistä. Periaatteessa vastustan jyrkästi monopolien tukemista, sillä se iskee aikanaan kipeästi omaan nilkkaan, mutta kun selain on työkalu. Chromen markkinaosuus on jossain 80-90% tietämissä. Sylettää.

Mikäli ei ole tarvetta katsoa esim. kopiosuojattuja Netflix videoita, niin mikset käytä avointa Chromen versiota, eli Chromiumia? Tai voihan ne Netflixit yms. tarvittavat katsoa vaikka sillä Firefoxilla erikseen, eihän sekään ole este.
https://www.chromium.org/Home

[Jere Sumell]

Viime joulun 2020 tienoissa, kun aloin katsomaan Musta Kyy -sarjaa Elisa Viaplay Viihteestä, niin selaimellakin katsoin pari jaksoa, ja tuli eteen, että video ei toistunut, niin Firefoxiin pitää muistaa asentaa liitännäinen Widevine Content Decryption Module, toimittaja Google Inc. mutta taitaa tulla jo valmiiksi asennettuna Firefoxin uudemmissa versioissa. Silloin minun piti asentaa se erikseen, niin videot alkoivat näkymään tuolta ohjelmakirjastosta. Varmaan Netflix vaatii saman.

Tuo liitännäinen lienee Chromessa/Chromiumissakin vakiona, kun Google nyt ensisijaisesti omassa selaimessaan suosii omia tekniikoitaan luultavasti.

[nm]

Linuxissa Firefox on tarjonnut Widevine CDM:ää automaattisesti versiosta 49 lähtien, eli jo viisi vuotta. Se ei sisälly selaimen oletusasennukseen, vaan käyttäjän täytyy hyväksyä moduulin lataaminen erikseen. Selain pyytää vahvistusta, kun siihen avataan Widevineä vaativa sivu.

Chromiumiin Widevine-tuen saa asentamalla tarvittavan palikan Chromesta. Ohje: https://github.com/proprietary/chromium-widevine