Topic: Disabilitare https in locale

[arrabbiato]

Salve,

francamente non capisco tutta questa paranoia nel voler forzare l'https in locale. Sviluppo portali in php e ho il mio bel server lamp installato con i suoi vh risolti a mezzo file host e non riesco più  a usarli perchè:

1) Ovviamente non è possibile generare un certificato senza un dns che risolve il nome del dominio. Per contro installando e configurando un dns locale (follia pura solo per sviluppo e test ma se serve si fa anche questo) la musica non cambia poichè sempre su indirizzi di rete interni si viaggia.
2) Un certificato locale/falso/fake chiamatelo come vi pare altrettanto ovviamente non viene considerato valido e firezoz neanche permette di aggiungere un eccezione a dispetto di quanto asserito dalle varie risposte lette sul vostro sito.
2.a) Mi auguro nessuno di questa allegra combriccola pensi tutti gli svilupatori di questo mondo lavorano su server condivisi e muniti di sistemi collaborativi stile git & co.
3) Ogni mirabolante e quanto mai inutile soluzione trovata sul vostro sito si guarda bene dal funzionare (dal settare l'autoFill a false, al impostare delle eccezioni a mano fino a installare plugin che neanche fanno qualcosa).
4) Molte altre cose più o meno inutili come i consigli dei vostri sedicenti esperti secondo cui aggiornare è sempre l'opzione migliore. Sbagliato. In questo caso l'unica soluzione è il downgrade alla vesione 58.0 forse la 58.2.

Ora si potrà pensare sia ironico ... no sono arrabbiato (esatamente come dice il mio nick) ... poichè mi sto un pò rompendo le scatole e sarebbe quanto mai gradito insegnaste al vostro browser che c'è una bella e grossa differenza tra il risolvere un indirizzo sulla locahost, 127.0.0.x, 10.x.x.x, 192.x.x.x e tutte le altre sotto reti e risolverlo nel mondo virtuale.

Sarebbe inoltre gradito se insegnaste a questo ammasso di codice che generalmente chi sviluppa in locale non ha le chiavi di fortknox da difendere  e forse di sentirsi richiedere un protocollo ultra mega astro iper ecc sicuro neanche gli interessa.

State imponendo degli standard ed in nome sicurezza possono, anzi sono, condivisi non lo nego, tuttavia forse converrebbe ripartire dalle basi come ad esempio studiare una buona volta cosa sono le reti e i protocolli, hai visto mai si accenda una qualche lampadina. In alternativa cambiare mestire è sempre un opzione.

infine, giusto per spezzare una lancia che farà arrabbiare molti ma non me frega niente, smettetela di criticare e sbeffeggiare IE perché tra Microsoft e voi c'è una sostanziale differenza. IE funziona e tutto sommato consuma poche risorse. FF non funziona e tra le altre consuma giga come un alcolizzato consuma birra o quel che è.

[Underpass]

Buonasera, ho letto il suo messaggio e mi pare più uno sfogo che una richiesta di supporto.
Potrebbe per favore dettagliare meglio il suo problema?

La ringrazio per la cortese attenzione.

[arrabbiato]

Buonasera, ho letto il suo messaggio e mi pare più uno sfogo che una richiesta di supporto.
Potrebbe per favore dettagliare meglio il suo problema?

La ringrazio per la cortese attenzione.

Buona sera a lei.

Un chiarimento.
Più che uno sfogo è una riflessione fatta cercando di non essere eccessivamente duro.

In sintesi comprendo bene le motivazioni di sicurezza che spingono i principali browser a, come posso dire? boicottare, qualsiasi connessione verso server non considerati attendibili (protocollo http) a favore di connessioni attendibili (protocollo https). Ciò che non capisco e neanche voglio capire è il motivo per cui nel fare questo vengono deliberatamente creati problemi agli sviluppatori. Dico deliberatamente perché è un comportamento voluto fregandosene altamente dei problemi che create.

Il problema.
Windows, Linux e OSX sono i sistemi operativi che utilizzo quotidianamente per sviluppare applicazioni basate php\mysql e per farlo utilizzo dei pc in locale. Dalla versione 58.2 (mi pare) di Firefox quando provo a digitare nella barra degli indirizzi qualcosa come http://www.miositolocale.dev/ il browser fa automaticamente redirect su https://www.miositolocale.dev/, non trova un certificato e quindi non posso più vedere il sito.

L'uinico modo ad oggi trovato è stato il downgrade di Firefox, ora sto scrivendo con la 58.0, o l'utilizzo di Internet Explorer per Windows. Tutti gli altri browser non funzionano e non aprono i siti.

Trovo questo comportamento o un enorme bug o un comportamento voluto lesivo per quanti come me, e siamo tanti in Italia, sviluppano in locale e necessitano di testare i loro prodotti.

Spero così sia più chiaro.

[Underpass]

Sto leggendo un po' in giro, ho trovato questi riferimenti che mi paiono interessanti

https://ma.ttias.be/chrome-force-dev-domains-https-via-preloaded-hsts/

e

https://superuser.com/questions/1315160/disable-dev-redirection-to-https-in-firefox

nel quale si dice che

This is because .dev has been bought by Google as one of their 100+ new gTLDs.

Al di là del fatto che non siamo noi di questo forum a sviluppare Firefox (forniamo supporto in italiano) direi quindi che il problema è un po' più complesso.

Spero di averle risposto.

[arrabbiato]

Sto leggendo un po' in giro, ho trovato questi riferimenti che mi paiono interessanti

https://ma.ttias.be/chrome-force-dev-domains-https-via-preloaded-hsts/

e

https://superuser.com/questions/1315160/disable-dev-redirection-to-https-in-firefox

nel quale si dice che

This is because .dev has been bought by Google as one of their 100+ new gTLDs.

Al di là del fatto che non siamo noi di questo forum a sviluppare Firefox (forniamo supporto in italiano) direi quindi che il problema è un po' più complesso.

Spero di averle risposto.

Conosco questi link ma non funzionano perché NE FIREFOX, NE CHROME, VOGLIO IL CERTIFICATO AUTO FIRMATO. Che possa essere usato un tale certificato è solo ed esclusivamente una BUFALA o come va di moda oggi una FAKE NEWS.

La riprova è semplice. La suddetta tecnica (ma il sito viene sempre e solo considerato non attendibile) funziona con le versioni di FF fino alla 58.0 ma aggiornando alla 60 smette di funzionare anche partendo da un installazione pulita o ripristinando ff.

Edit: giusto per fare una prova ho impostato un dominio .local ma la musica non cambia quindi è anche falso che chrome e firefox dirigono solo il .dev sull'https. Ci dirigono tutto.

Ripeto: Porca miseria. E' un server di sviluppo locale non ho bisogno di tutte queste paranoie per non dire malattie mentali.

[Underpass]

Le direi di cercare se esiste un bug su Bugzilla relativamente a questo problema, e in caso contrario aprirlo. D'altra parte se il problema c'è anche in Chrome (a proposito, Edge come si comporta?) direi che la questione è comunque più complessa.

[Winfox]

Non so se sei ancora arrabbiato ma ti chiedo se puoi moderare i toni: non invogli molto a risponderti.
Grazie.

[arrabbiato]

Non so se sei ancora arrabbiato ma ti chiedo se puoi moderare i toni: non invogli molto a risponderti.
Grazie.

Abbi pazienza per i toni però ... che vuoi farci? Sono uno dei tanti capoccioni che prima postare cerca, spulcia e si documenta per mesi e tutto ciò che ho trovato ha ricondotto qua su questo form. A partire dalle guide sbagliate sul sito ufficiale di mozilla e via via tutto il resto.

Alla fine non è certamente colpa mia ne se la vostra documentazione è sbagliata e neppure se il vostro browser non funziona. Almeno leggete e rispondete.

[arrabbiato]

Le direi di cercare se esiste un bug su Bugzilla relativamente a questo problema, e in caso contrario aprirlo. D'altra parte se il problema c'è anche in Chrome (a proposito, Edge come si comporta?) direi che la questione è comunque più complessa.

Edge e IE funzionano bene e anche Safari. Il problema è unico di Chrome e Firefox ovvero gli unici due browser che hanno voluto deviare verso l'https.

[Winfox]

Non è che siamo tenuti a rispondere: siamo volontari e nessuno è pagato da Mozilla per rispondere.
Aggiungo che il browser non è nostro e che la documentazione ufficiale riprende quella inglese, per cui se è sbagliata quella inglese è probabile che lo sia anche quella italiana. (gli admin possono smentirmi?)

Come hai confermato tu stesso i 2 browser hanno fatto una scelta di taglio netto col passato ed è ovvio che questo crei dei problemi.
Del resto anche il passaggio a Quantum ne ha creati!
Dato che non sono un tecnico posso solo dirti di seguire i consigli di underpass o altri se nel frattempo si aggiungono.

[Gioxx]

Tralasciando che una documentazione sbagliata o "un vostro browser non funzionante" (concetto per il quale ti è stato già detto che non sviluppiamo direttamente il browser ma offriamo supporto gratuito in lingua italiana) non ti autorizza a usare toni fuori dal pacato o pretendere qualcosa che non ti è dovuto (sono capoccione anche io, pure io mi documento parecchio e prima di scrivere cerco ogni possibile appiglio), hai perfettamente ragione, sì, il problema è dovuto al fatto che sia Firefox che Chrome stanno cercando di far migrare tutto il traffico da HTTP a HTTPS per questioni di sicurezza.

Qualche mese fa ho avuto il tuo stesso problema e l'ho poi risolto diversamente. Non lavoro su un server locale ma con un dominio di terzo livello online chiuso al pubblico, con un suo certificato Let's Encrypt. È un work-around, ne sono pienamente consapevole. Ho letto svariate guide e provato metodi spesso non funzionanti, in altri casi invece qualcuno ha portato a una destinazione accettabile, ma non sempre riproducibile. Dato che le cose non possono essere da noi cambiate (la direzione è ormai tracciata, e non mi stupirei se Microsoft e Apple la percorressero a loro volta in futuro), il suggerimento unico è quello di tenere a portata di mano una versione che non forza questo tipo di comunicazione, se si vuole continuare a usare Firefox / Chrome, o scegliere un diverso browser per lo sviluppo, se invece ci si impone battendo i piedi a terra per qualcosa che non è possibile cambiare.

Ocio: questo mio non è un intervento da leggere "a voce alta" come se stessi puntando il dito, ma più come un commento in una discussione evidentemente complessa ma senza una vera uscita in fondo alla strada (siamo un po' tutti sulla stessa barca).

[Gioxx]

Aggiungo in discussione questo riferimento a Let's Encrypt per localhost (molto molto interessante):
https://letsencrypt.org/docs/certificates-for-localhost/