Asus Seite ohne Bilder, CSP

  • Firefox-Version
    Firefox 103.0 /102.0.1/ 105nightly
    Betriebssystem
    Windows 10 21H2

    Mahlzeit

    Eben anderweitig gelesen - diese Seite zeigt keine Bilder (mehr) an:

    [Router] How to set up Virtual Server/Port Forwarding Rules? | Official Support | ASUS Global

    Die Konsole meint:

    Content Security Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf http://kmpic.asus.com/images/2018/11/01/02e9ffac-4ffb-4eee-b72e-9ba685fa8516.jpg blockiert ("default-src").

    Die Netzwerkanalyse zeigt CSP an und entsprechend 0 Bytes.

    Es sind Bilder per http eingebettet, aber https aktiv. HTTPS-Modus abschalten hilft auch nichts

    Kann mir das bitte jemand erklären, was da grad wirkt?

    Testweise hiermit ausprobiert:

    Laboratory (Content Security Policy / CSP Toolkit) – Holen Sie sich diese Erweiterung für 🦊 Firefox (de)
    Laden Sie Laboratory (Content Security Policy / CSP Toolkit) für Firefox herunter. Because good website security shouldn't only be available to mad scientists!…
    addons.mozilla.org

    [x]Record this site (will disable existing CSP while recording)

    Ergibt

    Code
     default-src 'none'; connect-src 'self' https://esurveyapi.asus.com/surveys.asmx/getSurveys https://odinapi.asus.com/recent-data/apiv2/BottomList https://odinapi.asus.com/recent-data/apiv2/FooterList https://odinapi.asus.com/recent-data/apiv2/LoginInfo https://odinapi.asus.com/recent-data/apiv2/TopMenu; font-src 'self' data:; img-src 'self' data: http://kmpic.asus.com https://dlcdnimgs.asus.com; script-src 'self' 'unsafe-eval' 'unsafe-inline' https://dlcdnimgs.asus.com/js/2015/alert-detect.js https://fast.fonts.net/jsapi/9207232b-0445-4c65-b8d6-acac7c66a782.js https://www.googletagmanager.com/gtm.js; style-src 'self' 'unsafe-inline' 

    Und damit funktioniert das wieder.

    Ich hab's auch schon mit einem userscript versucht.

    Auf jsfiddle funktioniert das, aber in der Seite nicht - die Bilder gibt es auch als https.

    https://kmpic.asus.com/images/2018/11/01/02e9ffac-4ffb-4eee-b72e-9ba685fa8516.jpg

    security.csp.enable gibt es ja seit v99 nicht mehr.

    Gibt es eine andere Einstellung im about:config, die das kurzfristig behebt?

    Cheers.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

    • Hilfreichste Antwort

    Das Script scheint mir zu funktionieren. Jedenfalls werden die Bilder angezeigt, wenn ich es in der Konsole ausführe.

    Das ist jedenfalls ein klares Website-Problem, das muss eigentlich ASUS beheben. Sonst müsste ja jeder Firefox-Nutzer diesen Aufwand betreiben. Neben einer Meldung an Asus könntest du, weil Chrome die Bilder lädt und das Verhalten von Firefox nicht falsch ist (Chrome hat möglicherweise einen anderen Umgang mit Mixed Content), es auch noch mit einer Meldung hier versuchen, in der Hoffnung, dass das WebCompat-Team mehr und/oder schneller erreicht:

    Bug reporting for the web | webcompat.com

    Das ist halt mal wieder ein klassischer Fall von: Großes Unternehmen, welches es nicht für nötig hält, seine Website in Firefox zu testen. Absichtlich macht man sowas ja kaum und beim Testen würde das sofort auffallen, dass sämtliche Bilder fehlen…

  • Also meine Erfahrung mit Chromium und Edge sind da echt moderat, die zeigen sowas an. Das muss nicht immer richtig sein, wie dieser Fall zeigt. Ich habs auf webcompat gemeldet, danke.

    Das Asus speziell ist, habe ich früher schon bemerkt, ich musste es zur Whitelist in uBlock (origin) hinzufügen. Ähnlich aber auch für andere Hersteller.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • .DeJaVu 29. Juli 2022 um 10:22

    Hat einen Beitrag als hilfreichste Antwort ausgewählt.
  • Link zum Issue auf webcompat

    Issue #108102 | webcompat.com

    Und du, Sören, hast auch schon geantwortet ;)

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.