Чи можу я довіряти не-SSL веб-сайту для включення до SSL-сайту?

2

Чи можу я створити винятки в основних браузерах Windows (IE, Firefox, Chrome, Safari) для небезпечних попереджень вмісту, які ви отримуєте при змішуванні https та http на одній сторінці?

У нас є сайт, на якому потрібно запускати https ... він дозволяє студентам тут оплачувати рахунки в Інтернеті, підписуватися на заняття, переглядати їхні оцінки, житло, фінансову допомогу тощо, а також дозволяє викладачам переглядати відповідну інформацію про студентів (захищена FERPA). Вміст сайту майже не повинен бачитись над незашифрованим http: ванілі.

Однією з особливостей цього сайту є те, що це також портал. Студенти можуть спілкуватися в чаті, розміщувати дошки для оголошень (на продаж, їздити додому тощо) та - через iframes - налаштовувати "гаджети". Вбудовано кілька пристосувань за замовчуванням, таких як лічильник використання друку, facebook (для заохочення використання порталу), пошук каталогу бібліотечних карт та інші, і студенти можуть налаштувати свій виграш - а деякі з них не підтримують https на всі. Ми знаємо, що студенти фактично користуються цим сайтом регулярно, і він завантажується як домашня сторінка в наших комп'ютерних лабораторіях.

На жаль, це призводить до неприємних попереджень про змішування захищеного та небезпечного вмісту. Я знаю, що це за застереження, чому вони їх мають, і чому вони важливі (вразливості XSS потенційно можуть пускати несанкціонований JavaScript у гаджет, який завантажує інформацію про студентів на віддалений сервер). З цього приводу я також контролюю розгортання цих сайтів, тому для власних керованих комп’ютерів я можу знати, що цей вміст у порядку.

Це підводить мене до мого питання. Щонайменше, для наших комп’ютерів, що належать до коледжів, я хотів би відключити попередження в IE, Firefox, Safari та Chrome для лише конкретного незахищеного вмісту та лише на тих конкретних сторінках, де ми його включили . Я точно не хочу відключати ці блоки та попередження взагалі. Я кажу лише про конкретний контент, про який йдеться, який базується на програмному забезпеченні постачальника, який я не можу просто встановити для використання https. Чи можливо це?

windows  security  browser 
Джоел Куехорн
джерело
> Деякі з яких засновані на програмному забезпеченні постачальника, який я не можу просто встановити, щоб використовувати https => впевнений, що ви можете, просто наклейте на нього зворотний проксі (через nginx, haproxy, apache httpd тощо) як термінал TLS проксі . Поки ви можете вибрати URL-адресу, яка буде використовуватись для цих "ґаджетів", ви можете вказати їх на проксі (і вказати проксі на HTTP-сервер).
Боб

Відповіді:

3

Щонайменше, для наших комп’ютерів, що належать до коледжів, я хотів би відключити попередження в IE, Firefox, Safari та Chrome для лише конкретного незахищеного вмісту та лише на тих конкретних сторінках, де ми його включили . Чи можливо це?

Наскільки я знаю, у Firefox чи Chrome немає способу зробити це.

Ви можете дозволити незахищений вміст з певних веб-сайтів в Internet Explorer, але ви не можете обмежувати цей виняток лише певними сторінками, на яких ви його включили.

Ось як:

  1. Відкрити Властивості оглядача ( Alt, T, O) і перейти до безпеки вкладки.

  2. Виберіть Довірені сайти .

  3. Натисніть для користувача рівень ... .

  4. У розділі Інше знайдіть Відображення змішаного вмісту та виберіть Увімкнути .

  5. Клацніть ОК двічі, а потім Сайти .

  6. Зніміть прапорець ** Потрібно підтвердити сервер (https :) для всіх сайтів у цій зоні.

  7. Додайте в зону веб-сайти, які надають незахищений вміст.

    Наприклад, https://xkcd.comпотрібен файл CSS від http://imgs.xkcd.com, щоб ви додали http://imgs.xkcd.comдо зони надійних сайтів.

  8. Клацніть Закрити , потім ОК або Застосувати .

Попри це, я думаю, що ви неправильно нападаєте на цю проблему. Основні браузери стають все більш педантичними щодо змішаного контенту, і ця тенденція навряд чи зміниться. Навіть якщо ви могли б вимкнути попередження для комп'ютерів, що належать до коледжів, це все одно не вирішить проблему на будь-якому іншому комп’ютері. Хоча у деяких користувачів ці попередження повністю відключені (червоне та перекреслене https:для мене достатньо попереджає), всі інші будуть шукати жахливий досвід перегляду.

Єдиний спосіб по-справжньому вирішити цю проблему - змінити дизайн веб-сайту:

HTTP, де можливий підхід

Переключіть весь веб-сайт на HTTP та зарезервуйте HTTPS для вмісту, який йому фактично потрібен.

Наприклад, насправді не потрібно спілкуватися, коли ви платите за рахунок. Розділ з виставленням рахунків міг би обійтися без зайвих гаджетів.

Інша конфіденційна інформація може відображатися у вбудованих кадрах або витягуватися / натискатися за допомогою AJAX. Останній варіант - звичайно - все одно відображатиме неприємні попередження для користувачів з відключеним JavaScript, але я вважаю, що більшість гаджетів все-таки потребують цього, тому їх можна було просто видалити у резервній версії.

HTTPS, де це можливо

Продовжуйте використовувати HTTPS для всього веб-сайту та обробляйте небезпечний вміст у кожному конкретному випадку.

Ви згадали, що деякі працюють у вбудованих кадрах. Якщо основні URL-адреси вбудованих кадрів використовують HTTP, вони не генеруватимуть попереджень змішаного вмісту, оскільки сценарії з вбудованого кадру не можуть впливати на батьківський кадр.

Якщо залишився якийсь вміст, який не можна ні обмежувати вбудованим кадром, ні отримувати за допомогою HTTPS, єдиним варіантом було б прокласти його через ваші сервери, тобто встановити сценарій, який завантажує певний незахищений контент за запитом і пересилає його користувачеві через HTTPS.

Підхід кадрів

Якщо жоден з перерахованих вище варіантів неможливий, ви можете розмістити весь вміст у вбудованому кадрі або використовувати навігацію AJAX .

Найбільший недолік цього підходу можна було б змінити, змінивши URL-адресу, яку відображає адресний рядок із JavaScript ( window.history.pushState('Object', 'Title', URL);).

Хоча це все ще менш ніж ідеально, це зробить сайт принаймні доступним для перегляду. Chrome відображає попередження про змішаний вміст лише один раз на вкладці. Firefox та Internet Explorer відображають його щоразу, коли ви клацаєте посилання.

Денніс
джерело
На жаль, це веб-сайт, створений виробником, тому перепроектування неможливе. Я також забуваю зазначити, що елементи входу відображаються на кожній сторінці, не маючи можливості замінити їх посиланням на виділену сторінку входу, яку можна зашифрувати. Таким чином, єдиний спосіб бути впевненим у безпечній аутентифікації - це використання кожною сторінкою https (вони повинні фіксувати це в наступній версії). Я все ж більше розкопаю ваші замітки про рамки кадрів. Я був впевнений, що сайт вже використовує iframes, але якщо це не так, я, можливо, зможу зробити власні незахищені сторінки в інших місцях і включити їх через iframe.
Joel Coehoorn
1

ви могли б спливати чат в іншому (незахищеному) вікні?

в іншому випадку, можливо, доведеться додавати винятки через політику - для IE, цей файл Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]  
@=""  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superuser.com]  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superuser.com\www]  
"http"=dword:00000002

додасть www.superuser.com до надійних місць

SeanC
джерело
1
Чи достатньо добре додавати його до надійних місць? Я думаю, він все ще попередить про поєднання http та https, навіть якщо http "довіряють"
Joel Coehoorn
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.