Chrome'da metin girişi uyarılarını önlemek için bir web sitesini güvence altına almak için HTTPS'nin yanı sıra başka seçenekler var mı?


16

Bir hafta önce Google bana HTTPS'ye gitmek için bir e-posta gönderdi. HTTP'yi HTTPS'ye aktarmazsam, siteme metin girmeye çalışan tüm sitem ziyaretçilerine bağlantımın güvenli olmadığını gösterecektir.

SSL kullanmadan, bağlantımı güvenli hale getirmenin başka bir yolu var mı? Web URL'sinde SSL kullanmak maliyetli bir işlem olduğundan, bunun yerine başka bir seçenek arıyorum.


27
Eğer içine baktın mı letsencrypt.org ? Ücretsiz HTTPS sertifikaları verir. Sıfırdan kurmak biraz acıdır, ancak birçok hosting şirketi sizin için uyguladı.
Stephen Ostermiller

6
Ayrıca size ücretsiz bir SSL sertifikası verecek olan cloudflare kullanabilirsiniz.
Ave

2
Soru "HTTPS nasıl kullanılır" değil, bundan daha geniştir: eğer http://uygun değilse, başka neler var https://? Bir var mı abc://, lgbtqiapk+://yoksa dps://?
Konerak

4
"Pahalı bir süreç" mi? Şifreleyelim ücretsiz. Ayrıca: doesmysiteneedhttps.com
Andrea Lazzarotto

Yanıtlar:


41

bağlantımı güvenli hale getirmenin başka bir yolu var mı?

Google, yalnızca "güvenlik" (bir dizi farklı konu içerebilir) hakkında şikayet etmiyor, özellikle şifreleme / HTTPS'yi hedefliyor . Düz HTTP ile istemci ve sunucu arasındaki bağlantı şifrelenmez, böylece herkes gönderilen herhangi bir şeyi potansiyel olarak görebilir ve kesebilir. Normalde yalnızca kullanıcıların oturum açmasına izin veriyorsanız (ör. Kullanıcı adı / şifre gönderme) veya şifrelenmemiş bir bağlantı üzerinden ödeme bilgileri göndermeniz istenir. Genel "metin" formu gönderimleri bir sorun teşkil etmez. Ancak, @Kevin'in yorumlarda belirttiği gibi, Google / Chrome bunu gelecekte genişletmeyi planlıyor :

Sonunda, tüm HTTP sayfalarını güvenli değil olarak etiketlemeyi ve HTTP güvenlik göstergesini bozuk HTTPS için kullandığımız kırmızı üçgene değiştirmeyi planlıyoruz.

Sitenize bir SSL sertifikası yüklemek (veya SLL'yi işlemek için Cloudflare gibi bir ön uç proxy kullanmak) sitenize gelen trafiği şifrelemenin tek yoludur.

Ancak bu, bugünlerde mutlaka "maliyetli bir süreç" değildir. Cloudflare "ücretsiz" bir seçeneğe sahiptir ve Let's Encrypt , birçok ana bilgisayarın varsayılan olarak desteklediği ücretsiz bir Sertifika Yetkilisidir.


3
"Normalde yalnızca kullanıcıların oturum açmalarına (kullanıcı adı / şifre gönderme) veya kişisel bilgileri şifrelenmemiş bir bağlantı üzerinden göndermelerine izin verirseniz bunu sorarsınız. Genel" metin "bir sorun olmak zorunda değildir." Bu yakında doğru olmayacak; Chrome, HERHANGİ BİR metin giriş alanı için uyarı gösterir. Sonuçta, potansiyel olarak hassas bilgiler ve aramalar gibi iyi huylu şeyler arasındaki farkı söyleyemez, bu yüzden her şey hakkında uyarmaya karar verildi.
Muzer

2
Metin girişi ise genellikle de Karar verilebilen değil @Muzer olan duyarlı - Benim ev adresini yazın ya da benim utanç verici tıbbi sorun için bir arama yaparsanız, o bir kaçak kullanıcı için çok ilginç olabilir.
apsillers

6
Sonunda, Chrome tüm HTTP siteleri için bu uyarıyı göstereceğinden , HTTPS'ye uzun vadeli bir alternatif yoktur.
Kevin

3
Bu yanıt, kimlik olan düz uçtan uca şifrelemeye kıyasla HTTPS'ye en büyük avantajı kaçırıyor. HTTPS, sunucunuzun istemcilere, aslında bir kimlik doğrulama yöntemini önceden ayarlamak zorunda kalmadan aslında iddia ettiği sunucu olduğunu kanıtlamasına izin verir. İstemci kötü amaçlı bir aktöre ait bir sunucuya bağlanırsa, uçtan uca şifreleme kendi başına yardımcı olmaz.
IllusiveBrian

4
@IllusiveBrian Bu soru gerçekten "HTTPS'nin avantajları" ile ilgili olmasa da (zaten bunu kapsayan mevcut sorular vardır), bu soru Google / Chrome'da tarayıcı güvenliği "uyarısından" kaçınmaya çalışmakla ilgilidir. Ancak HTTPS'nin mutlaka "kimliği kanıtlaması" gerekmez - bunu yapmak için bir OV veya EV sertifikası için daha fazla para ödemeniz gerekir. Bu soru bağlamında her şey şifreleme ile ilgilidir.
DocRoot

4

Önermiyorum, ancak orijinal giriş metin alanlarını kullanmadan bu mesajı atlayabilirsiniz. Düzenli etkinlik diviçeren kendi giriş alanlarınızı oluşturabilirsiniz onkeypress. Veya özelliği ayarlanmış bir divöğe oluşturabilirsiniz .contenteditabletrue

Bu şekilde, kullanıcılar inputetiket öğelerini kullanmadan sitenize bilgi girebilir .


41
Bu gerçekten kötü bir fikir. Google'ın sizi çözmeye teşvik ettiği güvenlik sorununu çözmez ve sitenizi test etme yönteminizden biraz farklı bir şekilde kullanan kullanıcılar için sorunlara neden olabilir (ör. Farklı bir tarayıcı, telefon, ekran okuyucu vb.). Ayrıca parola yöneticilerini bozacaktır.
thelem

Formu göndermek bu yaklaşımla sorunlu olacaktır.
the_lotus

3
FORM'u göndermenize gerek yoktur. XMLlHTTPRequestBilgi göndermek için (aka AJAX) kullanabilirsiniz
Aminadav Glickshtein

18
Ben size "tavsiye etmiyorum" cevabını "asla bunu asla yapmayın" olarak değiştiririm. Artık bunu yapmak için bir web uygulaması yapmıyor olabilir bunu yapan birçok standart atlatmak.
Caimen

2
Bu şeyi düşürmek için gerçekten 125 puana ihtiyacım var mı? oO
Andrea Lazzarotto

4

Sadece statik dosyalar sunuyorsanız veya bir proxy yerleştirebiliyorsanız , tüm bunları sizin için ele geçiren caddy sunucusu gibi bir sunucu kullanabilirsiniz . başka bir yazılım yükleyin.

Alternatif olarak cloudflare gibi bir hizmet kullanabilirsiniz - ücretsiz planları ücretsiz https sunar.

Son olarak, bazı ev sahipleri şimdi dreamhost dahil ücretsiz https sertifikaları sunuyor . Bu nedenle, mevcut sunucunuzun bunu bir seçenek olarak sunup sunmadığını kontrol edin.

Geçici bir çözüm bulmaya çalışmanızı tavsiye etmem, sitenizi güvenli hale getirmenin yalnızca bir yolu vardır ve içerik ne olursa olsun, tarayıcılar https bulunmayan her sitede uyarı verecektir. Web her yerde https'ye doğru ilerliyor.


1
Firefox, artık güvensiz giriş sayfalarında da uyarılar başlattı ve tüm büyük tarayıcılar http2'yi yalnızca https desteği sağlamayı seçti; bu, protokolün bir sonraki sürümünün yalnızca fiili https olduğu anlamına geliyor.
Kenny Grant

1
@closetnoc GoDaddy bir çok yoldan soygundur. Biz (webdev şirket) bizim certs satın almak için yılda 7 €, hangi uygun fiyatlı ama yüz siteler için satın alırdım. Şimdi Let's Encrypt kullanıyoruz ve ücretsiz olarak alıyoruz, böylece hepsine SSL koyduk. Müşterilerimiz hoşuna gidiyor ve HTTP / 2 kullanmaktan zevk alıyoruz. Yenileme ile ilgili herhangi bir sorun yaşamadım. Sertifikalar 90 gün sürüyor ve 60 gün sonra günlük olarak yenilenmeye çalışıyoruz. Bir şeylerin yanlış gitmesi durumunda bolca üst üste binme (ki öyle değil). Zorluk istemiyorsanız Cloudflare kullanın.
Martijn Heemels

1
@closetnoc ssl şifrelemeden daha fazlasıdır, ayrıca bütünlük, güvenlik ve gizlilik sağlar, bu nedenle sayfadaki şeyler bir MitM'er tarafından görülemez (örn. işvereniniz, bir yaşam durumu) veya değiştirilemez (örneğin enjekte edilen reklamlar). Ayrıca, insanların MitMing'den arkadaşınızın kimlik doğrulama verilerini koklamasını önler (muhtemelen siteye istenmeyen içerik yüklemek için kullanılabilir). Ayrıca, Martijn, GoDaddy'nin büyük bir ripoff olduğunu ve genel olarak olumsuz olduğunu söyledi. Arkadaşınızın google alanlarına, namecheap ve gandi'ye bakmasını tavsiye ederim (herhangi biriyle bağlantılı değilim).
Ave

1
@MartijnHeemels GoDaddy'nin pahalı olduğunu kabul ediyorum. BÜYÜK ZAMAN! Görünüşe göre Let's Encrypt, genellikle içerik bakımından iyi huylu olan çoğu site için gidilecek yoldur. Ben de bazı siteler için tamamen veteriner certs gidiş görebilirsiniz. Eskiden sertifika yetkilisi olduğuma inanır mısın? Sanırım certs bir yıl olduğunda tercih ederim. Daha kısa sürelere güvenmiyorum. Ama bugünlerde ne gibi seçenekler var? Alkış !!
closetnoc

1
@closetnoc 1 yıllık geçerliliği olan ve iyi bilinen CA'lardan ücretli SSL sertifikalarını yaklaşık 10 $ karşılığında bulmak zor değil. Ama bu kesinlikle size "tamamen denetlenmiş" bir sertifika vermeyecektir; bunu gerçekten istiyorsanız, EV sertifikası almak için çemberlerden atlamanız ve karşılık gelen fiyatı ödemeniz gerekir (ve daha önce belirtildiği gibi, EV certs bile mükemmel değildir veya uyarılar olmadan gelir). Let's Encrypt, web sitelerinde sertifikalarının yalnızca 90 gün boyunca geçerli olmasının bazı nedenlerini tartışıyor, ancak Let's Encrypt'in varlığı (henüz) ticari CA'ların DV sertifika tekliflerini çekmesine neden olmadı.
CVn

4

Kimseden bahsetmemiş gibi görünüyor,

sitenize bağlanan her makineye sahipseniz

örneğin "bu muhtemelen istediğiniz şey değildir"

kurumsal bir ayar gibi, kendi sertifika yetkilinizi oluşturabilir, bu sertifikayı sitenize bağlanan tüm makinelere (tüm tarayıcılara ve sertifika mağazalarına) yükleyebilirsiniz. bu seçenek üçüncü taraflardan para kazanma özelliğine sahip değildir; aynı şifreleme şifresidir, ancak kamu güveninde oturum açmazsınız (örneğin, yetkiniz Google'ın Chrome'u, Mozilla'nın Firefox'u vb., Let's Encrypts'in yaptığı gibi) tarafından tanınmaz, ancak kendinize güvenmek için yapılandırdığınız makineler tarafından tanınır .

Kuşkusuz, bir sertifika yetkilisi kurma anlaşmaları biraz belirsiz ve bakım çok iş olabilir - bu yüzden onları burada bırakacağım, muhtemelen gerçekten ilgilendiğiniz konu hakkında derin bir dalış araştırması yapıyorsunuz Bu yaklaşımda.

bir nieve dağıtımı için olsa da, XCA'yı deneyebilirseniz

XCS, küçük dağıtımlar için sertifikalar yayınlamanın iyi bir yoludur ve tüm kurulum boyunca yürüyen yardım dokümanlarını içerir.


2
Neredeyse kesinlikle ticari bir SSL sertifikası almak yerine kendi CA'nızı (başka bir şey değilse, çalışma saatlerinde) kurmak için daha fazla harcayacaksınız. Sonra, her zaman yanlış bir şey yapma olasılığı vardır.
Eric

1

Birkaç fikrim var.

HTTPS'nin nedeni girişleri yönetmekse, kullanıcılara oturum açmış olmalarını önererek tüm tarayıcılar üzerindeki etkiyi en aza indirebilirsiniz. Daha sonra bir kullanıcı oturum açtığında, kullanıcının bilgisayarında bir çerez kalıcı olarak saklanabilir. siteye erişmek için bilgisayarını açar, her zaman bir oturum açma istemi ve muhtemelen bir güvenlik uyarısı ile sunulmak yerine otomatik olarak oturum açar.

İletiyi atlayabilen, ancak hem konuk hem de sunucu üzerinde daha fazla işe yarayabilecek bir başka fikir, konukların uygun yapılandırmanın şifrelenmiş özel bir dosyayı yüklemesini sağlamaktır. Örneğin, giriş ekranı için, kullanıcıdan iki metin kutusuna kullanıcı adını ve şifresini girmesini istemek yerine, kullanıcı adını ve şifresini şifreli içeren küçük bir dosya yüklemesini isteyin (örneğin, kullanıcı adını ve şifreyi zip olarak sıkıştırma belirli bir sıkıştırma düzeyine sahip), sunucu kullanıcı adını ve şifreyi ayıklamak için dosyanın şifresini çözebilir. Kullanıcı dosyayı sunucuya gönderdiğinde potansiyel bilgisayar korsanı taşıma sırasında anlamsızlık görür. SSL bağlantı işleme HTTP'de gerçekleşmediğinden, bu fikrin sadece küçük bir avantajı biraz daha hızlı bir bağlantı hızıdır.


Chrome'un yaklaşan bir sürümü, yalnızca şifre alanları değil, herhangi bir metin girişi hakkında uyarı verecektir. HTML formlarını kullanan herhangi bir verinin, yalnızca giriş değil, uyarıları önlemek için HTTPS olması gerekir. Google, Search Console üzerinden Google'ın web sitelerinin etkileneceğini düşündüğü web sitesi sahiplerine bildirim gönderiyor.
Stephen Ostermiller

1

Hayır.

Denediğiniz herhangi bir saldırı (örneğin, javascript ile şifrelemeye çalışmak gibi), güvenliğe bile yakın olması pek olası değildir.

SSL "pahalı" olmak zorunda değildir, birçok hosting sağlayıcısı ücretsiz olarak sunmaktadır. Cloudflare gibi şeyler bile ücretsiz SSL sunar ve mevcut barındırmayı korur.


-3

Ücretsiz, hızlı bir çözüm Let's Encrypt. Bağlantı Neredeyse her sunucu işletim sistemi için dokümanları vardır. İşimizde kullanıyoruz ve W2P satıcılarımız, her mağaza önümüzün güvenliğini sağlamak için kullanıyor.


3
Bu cevap, daha önce söylenmemiş hiçbir şey eklemiyor.
Stephen Ostermiller
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.