Asus Seite ohne Bilder, CSP

.DeJaVu

Mahlzeit

Eben anderweitig gelesen - diese Seite zeigt keine Bilder (mehr) an:

[Router] How to set up Virtual Server/Port Forwarding Rules? | Official Support | ASUS Global

Die Konsole meint:

Content Security Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf http://kmpic.asus.com/images/2018/11/01/02e9ffac-4ffb-4eee-b72e-9ba685fa8516.jpg blockiert ("default-src").

Die Netzwerkanalyse zeigt CSP an und entsprechend 0 Bytes.

Es sind Bilder per http eingebettet, aber https aktiv. HTTPS-Modus abschalten hilft auch nichts

Kann mir das bitte jemand erklären, was da grad wirkt?

Testweise hiermit ausprobiert:

Laboratory (Content Security Policy / CSP Toolkit) – Holen Sie sich diese Erweiterung für 🦊 Firefox (de)

Laden Sie Laboratory (Content Security Policy / CSP Toolkit) für Firefox herunter. Because good website security shouldn't only be available to mad scientists!…

addons.mozilla.org

[x]Record this site (will disable existing CSP while recording)

Ergibt

Code

 default-src 'none'; connect-src 'self' https://esurveyapi.asus.com/surveys.asmx/getSurveys https://odinapi.asus.com/recent-data/apiv2/BottomList https://odinapi.asus.com/recent-data/apiv2/FooterList https://odinapi.asus.com/recent-data/apiv2/LoginInfo https://odinapi.asus.com/recent-data/apiv2/TopMenu; font-src 'self' data:; img-src 'self' data: http://kmpic.asus.com https://dlcdnimgs.asus.com; script-src 'self' 'unsafe-eval' 'unsafe-inline' https://dlcdnimgs.asus.com/js/2015/alert-detect.js https://fast.fonts.net/jsapi/9207232b-0445-4c65-b8d6-acac7c66a782.js https://www.googletagmanager.com/gtm.js; style-src 'self' 'unsafe-inline'

Und damit funktioniert das wieder.

Ich hab's auch schon mit einem userscript versucht.

Code

// ==UserScript==
// @name asus http replacer https
// @namespace Violentmonkey Scripts
// @include        *://www.asus.com/*
// @grant none
// @run-at document-end
// ==/UserScript==

var images = document.getElementsByTagName('img');
for(var j=0; j < images.length; j++)
  {
    images[j].src = images[j].src.replace('http:', 'https\:');
    console.log(images[j].src);
    //alert(images[j].src);
}

Alles anzeigen

Auf jsfiddle funktioniert das, aber in der Seite nicht - die Bilder gibt es auch als https.

https://kmpic.asus.com/images/2018/11/01/02e9ffac-4ffb-4eee-b72e-9ba685fa8516.jpg

security.csp.enable gibt es ja seit v99 nicht mehr.

Gibt es eine andere Einstellung im about:config, die das kurzfristig behebt?

Cheers.

Sören Hentzschel

Das Script scheint mir zu funktionieren. Jedenfalls werden die Bilder angezeigt, wenn ich es in der Konsole ausführe.

Das ist jedenfalls ein klares Website-Problem, das muss eigentlich ASUS beheben. Sonst müsste ja jeder Firefox-Nutzer diesen Aufwand betreiben. Neben einer Meldung an Asus könntest du, weil Chrome die Bilder lädt und das Verhalten von Firefox nicht falsch ist (Chrome hat möglicherweise einen anderen Umgang mit Mixed Content), es auch noch mit einer Meldung hier versuchen, in der Hoffnung, dass das WebCompat-Team mehr und/oder schneller erreicht:

Bug reporting for the web | webcompat.com

Das ist halt mal wieder ein klassischer Fall von: Großes Unternehmen, welches es nicht für nötig hält, seine Website in Firefox zu testen. Absichtlich macht man sowas ja kaum und beim Testen würde das sofort auffallen, dass sämtliche Bilder fehlen…

.DeJaVu

Also meine Erfahrung mit Chromium und Edge sind da echt moderat, die zeigen sowas an. Das muss nicht immer richtig sein, wie dieser Fall zeigt. Ich habs auf webcompat gemeldet, danke.

Das Asus speziell ist, habe ich früher schon bemerkt, ich musste es zur Whitelist in uBlock (origin) hinzufügen. Ähnlich aber auch für andere Hersteller.

schlingo

Zitat von Sören Hentzschel

Das ist jedenfalls ein klares Website-Problem

Hallo Sören

sollte dieses Thema dann nicht nach Probleme auf Websites verschoben werden?

Gruß Ingo

.DeJaVu

Danke für's Verschieben

.DeJaVu

Update

1782248 - Images do not load - asus.com/support

NEW (nobody) in Firefox - General. Last updated 2022-07-29.

bugzilla.mozilla.org

Auf die Antwort(en) bin ich gespannt

.DeJaVu

Link zum Issue auf webcompat

Issue #108102 | webcompat.com

Zitat

Thanks for the report, I was able to reproduce the issue.
Note:

The issue is not reproducible on Chrome.

The issue is reprodcible on Firefox regardless of the ETP status.

Tested with:

Browser / Version: Firefox Nightly 105.0a1 (2022-07-27), Firefox Release 103.0

Operating System: Windows 10 Pro

Moving to Needsdiagnosis for further investigation.

[qa_30/2022]

Alles anzeigen

Und du, Sören, hast auch schon geantwortet

Asus Seite ohne Bilder, CSP

Sören Hentzschel 28. Juli 2022 um 19:01

.DeJaVu 29. Juli 2022 um 10:22

Ähnliche Themen

Druck mit Querformat nicht möglich

Seitenränder beim Druck können nicht verändert werden

Hintergrund eines leeren Tabs mit eigenen Bildern versehen

Seit dem letzten Update Problem mit close-Event

Ordner von externer Festplatte lässt sich plötzlich nicht mehr öffnen

internet race