<p>Yes our dev servers are a case in point, but the simple answer is that we have no idea who is using the code and in what configurations.</p>

<p>I also fail to see how you can MITM a link to a user from a friend message - it's a public link that anybody can visit! The links which matter are the ones that will automatically log you in, which is the signup confirmation and the password reset link and possibly the email change but I would need to check that.</p>

<p>I am not going to allow this PR to be used to pursue "https by default" by the backdoor. If you want to argue for that then it is a separate discussion and it's not a decision I'm going to make by myself as the primary maintainer of the code - it's a policy issue not a codign issue.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/pull/1341#issuecomment-256385906">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/ABWnLUZpQdL-7nYsEKJ4_jg0gAP_r4y2ks5q33QRgaJpZM4KhSPK">mute the thread</a>.<img alt="" height="1" src="https://github.com/notifications/beacon/ABWnLUz07q2jNLsS7-Ij-t9G0x85wiieks5q33QRgaJpZM4KhSPK.gif" width="1" /></p>
<div itemscope itemtype="http://schema.org/EmailMessage">
<div itemprop="action" itemscope itemtype="http://schema.org/ViewAction">
  <link itemprop="url" href="https://github.com/openstreetmap/openstreetmap-website/pull/1341#issuecomment-256385906"></link>
  <meta itemprop="name" content="View Pull Request"></meta>
</div>
<meta itemprop="description" content="View this Pull Request on GitHub"></meta>
</div>

<script type="application/json" data-scope="inboxmarkup">{"api_version":"1.0","publisher":{"api_key":"05dde50f1d1a384dd78767c55493e4bb","name":"GitHub"},"entity":{"external_key":"github/openstreetmap/openstreetmap-website","title":"openstreetmap/openstreetmap-website","subtitle":"GitHub repository","main_image_url":"https://cloud.githubusercontent.com/assets/143418/17495839/a5054eac-5d88-11e6-95fc-7290892c7bb5.png","avatar_image_url":"https://cloud.githubusercontent.com/assets/143418/15842166/7c72db34-2c0b-11e6-9aed-b52498112777.png","action":{"name":"Open in GitHub","url":"https://github.com/openstreetmap/openstreetmap-website"}},"updates":{"snippets":[{"icon":"PERSON","message":"@tomhughes in #1341: Yes our dev servers are a case in point, but the simple answer is that we have no idea who is using the code and in what configurations.\r\n\r\nI also fail to see how you can MITM a link to a user from a friend message - it's a public link that anybody can visit! The links which matter are the ones that will automatically log you in, which is the signup confirmation and the password reset link and possibly the email change but I would need to check that.\r\n\r\nI am not going to allow this PR to be used to pursue \"https by default\" by the backdoor. If you want to argue for that then it is a separate discussion and it's not a decision I'm going to make by myself as the primary maintainer of the code - it's a policy issue not a codign issue."}],"action":{"name":"View Pull Request","url":"https://github.com/openstreetmap/openstreetmap-website/pull/1341#issuecomment-256385906"}}}</script>