<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, 18 Sep 2020 at 02:08, James Paige <<a href="mailto:Bob@hamsterrepublic.com">Bob@hamsterrepublic.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>I would be happy to disable http completely, and always redirect http to https.</div><div><br></div><div>People who have an OS so old that it can't support https are welcome to open a web browser on a separate device.</div><div><br></div><div>I don't actually know how to do this just for the login page. I think I remember an option in the dreamhost config panel to do this for the whole site, but I would have to hunt for it.</div><div><br></div><div>A *MUCH* bigger security concern is that I can't upgrade Mediawiki anymore. It has been years since running "git pull" on a large repo in a shell script on a dreamhost shared account was a viable option.</div></div></blockquote><div><br></div><div>Is the reason that you're using git to download mediawiki versions because you use git to merge your local changes?</div><div>Are those local changes just in LocalSettings.php?</div><div>If it's just a couple files, it seems practical to write a small shell script to download a tarball and do an interactive merge of those couple files using sdiff.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><br></div><div>I had a clunky workaround where I would rsync the whole thing locally, upgrade it, rsync it back up to dreamhost, and then run the last stage of the upgrade.</div><div><br></div><div>I am always terrified that I will break the whole thing every time I do that, but maybe I will give it a try today since I happen to be on a vacation day and have time.<br></div><div><br></div><div>I would really like to move the whole wiki to a place where the upgrades were automatically managed for me. I haven't had time to look into that (in years)<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Sep 17, 2020 at 9:57 AM Adam Perry <<a href="mailto:arperry@gmail.com" target="_blank">arperry@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div>It is not a good idea to have an HTTP login page. Your credentials are sent in plain text when you log in via HTTP. <div dir="auto"><br></div><div dir="auto">I realize that the OHR wiki isn't the most high-profile target for hackers, but it's still a bad idea. We don't need to allow wiki editing to everyone able to use the engine if it means compromising security.</div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Sep 16, 2020, 8:45 PM Ralph Versteegen <<a href="mailto:teeemcee@gmail.com" target="_blank">teeemcee@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Holly reported, and I can confirm, that you can't log into the wiki, or create an account, when accessing it over HTTP instead of HTTPS. (I think I remember seeing this already quite a while ago.) You get the following message:<br></div><div><br></div><div>"There seems to be a problem with your login session;
this action has been canceled as a precaution against session hijacking.
Please resubmit the form."</div><div><br></div><div>It is nice to be able to access the wiki via HTTP, since HTTPS is inaccessible from ancient OSes such as some of those we support. If the login page could redirect from HTTP to HTTPS...<br></div><div><br></div><div>Hmm, maybe I should file such things on github instead...<br></div></div>
_______________________________________________<br>
Ohrrpgce mailing list<br>
<a href="mailto:ohrrpgce@lists.motherhamster.org" rel="noreferrer" target="_blank">ohrrpgce@lists.motherhamster.org</a><br>
<a href="http://lists.motherhamster.org/listinfo.cgi/ohrrpgce-motherhamster.org" rel="noreferrer noreferrer" target="_blank">http://lists.motherhamster.org/listinfo.cgi/ohrrpgce-motherhamster.org</a><br>
</blockquote></div></div></div>
_______________________________________________<br>
Ohrrpgce mailing list<br>
<a href="mailto:ohrrpgce@lists.motherhamster.org" target="_blank">ohrrpgce@lists.motherhamster.org</a><br>
<a href="http://lists.motherhamster.org/listinfo.cgi/ohrrpgce-motherhamster.org" rel="noreferrer" target="_blank">http://lists.motherhamster.org/listinfo.cgi/ohrrpgce-motherhamster.org</a><br>
</blockquote></div>
_______________________________________________<br>
Ohrrpgce mailing list<br>
<a href="mailto:ohrrpgce@lists.motherhamster.org" target="_blank">ohrrpgce@lists.motherhamster.org</a><br>
<a href="http://lists.motherhamster.org/listinfo.cgi/ohrrpgce-motherhamster.org" rel="noreferrer" target="_blank">http://lists.motherhamster.org/listinfo.cgi/ohrrpgce-motherhamster.org</a><br>
</blockquote></div></div>