Question Puis-je "faire confiance" à un site Web non-SSL pour l'inclure sur le site SSL?


Puis-je créer des exemptions dans les principaux navigateurs Windows (IE, Firefox, Chrome, Safari) pour les avertissements de contenu non sécurisés que vous obtenez lorsque vous mélangez https et http sur la même page?

Nous avons un site qui doit exécuter https ... Il permet aux étudiants ici de payer leurs factures en ligne, de s'inscrire à des cours, de voir leurs notes, leur logement, leur aide financière, etc. Le contenu du site ne devrait jamais être vu sur un http non crypté.

L'une des caractéristiques de ce site est qu'il s'agit également d'un portail. Les élèves peuvent discuter, publier sur les forums (à vendre, se déplacer à la maison, etc.) et, via iframes, configurer des «gadgets». Il existe quelques gadgets par défaut intégrés, comme un compteur d’impression, Facebook (pour encourager l’utilisation du portail), la recherche de catalogues de cartes de bibliothèque et d’autres, et les étudiants peuvent configurer leurs gains. tout. Nous savons que les étudiants utilisent effectivement ce site régulièrement, et qu'il se charge en tant que page d'accueil dans nos laboratoires informatiques.

Malheureusement, cela conduit à des avertissements désagréables sur le mélange de contenu sécurisé et non sécurisé. Je sais ce que sont ces avertissements, pourquoi ils les contiennent et pourquoi ils sont importants (les vulnérabilités XSS pourraient permettre à javascript dans un gadget de télécharger des informations sur un élève sur un serveur distant). Cela dit, je contrôle également le déploiement de ces sites, donc pour mes propres ordinateurs gérés, je peux savoir que ce contenu est correct.

Cela m'amène à ma question. Pour les ordinateurs appartenant à nos collèges, au moins, j'aimerais désactiver les avertissements dans IE, Firefox, Safari et Chrome. pour seulement ce contenu non sécurisé spécifique et dans les pages spécifiques où nous l'avons inclus. Je certainement ne pas voulez désactiver ces blocs et avertissements en général. Je ne parle que du contenu spécifique en question, dont certains sont basés sur un logiciel fournisseur que je ne peux pas définir pour utiliser https. Est-ce possible?


2
2017-08-01 18:25


origine


> dont certaines sont basées sur un logiciel de vendeur que je ne peux pas configurer pour utiliser https => que vous pouvez, juste coller un proxy inverse (via nginx, haproxy, apache httpd, etc.) devant lui comme un Proxy de terminaison TLS. Tant que vous pouvez sélectionner l'URL à utiliser pour ces «gadgets», vous pouvez les pointer sur le proxy (et pointer le proxy sur le serveur HTTP). - Bob


Réponses:


Pour les ordinateurs appartenant à nos collèges, au moins, j'aimerais désactiver les avertissements dans IE, Firefox, Safari et Chrome. pour seulement ce contenu non sécurisé spécifique et dans les pages spécifiques où nous l'avons inclus. Est-ce possible?

Pour autant que je sache, il n'y a aucun moyen de le faire dans Firefox ou Chrome.

Toi pouvez autoriser le contenu non sécurisé de certains sites Web dans Internet Explorer, mais vous ne peut pas limiter cette exception aux pages spécifiques où vous l'avez inclus.

Voici comment:

  1. Ouvrir options Internet (Alt, T, O) et passer à la Sécurité languette.

  2. Sélectionner Des sites de confiance.

  3. Cliquez sur Niveau personnalisé....

  4. Dans Divers, rechercher Afficher le contenu mixte et sélectionnez Activer.

  5. Cliquez sur D'accord deux fois, puis Des sites.

  6. Décocher ** Requiert une vérification du serveur (https :) pour tous les sites de cette zone.

  7. Ajoutez les sites Web qui fournissent le contenu non sécurisé à la zone.

    Par exemple, https://xkcd.com nécessite un fichier CSS de http://imgs.xkcd.com, alors vous ajouteriez http://imgs.xkcd.com à la zone des sites de confiance.

  8. Cliquez sur Fermer, puis D'accord ou Appliquer.

Cela étant dit, je pense que vous attaquez ce problème dans le mauvais sens. Les principaux navigateurs deviennent de plus en plus pédants au sujet des contenus mixtes, et cette tendance est peu susceptible de changer. Même si vous pouviez désactiver les avertissements pour les ordinateurs appartenant au collège, cela ne résoudrait toujours pas le problème sur tous les autres ordinateurs. Alors que certains utilisateurs peuvent avoir ces avertissements entièrement désactivés (le rouge et le croisé https: est suffisamment averti pour moi), tous les autres vont avoir une expérience de navigation horrible.

Le seul moyen de résoudre ce problème serait de modifier la conception du site Web:

Approche HTTP-possible

Basculez l'ensemble du site Web sur HTTP et réservez HTTPS pour le contenu qui en a réellement besoin.

Par exemple, vous n'avez pas besoin de discuter pendant que vous payez une facture. La section de facturation pourrait bien fonctionner sans aucun gadget supplémentaire.

D'autres informations sensibles pourraient être affichées dans des cadres en ligne ou être tirées / poussées avec AJAX. La dernière option - bien sûr - afficherait toujours des avertissements désagréables aux utilisateurs avec JavaScript désactivé, mais je suppose que la plupart des gadgets l'exigent de toute façon, de sorte qu'ils pourraient simplement être supprimés dans la version de secours.

Approche HTTPS-où-possible

Continuez à utiliser HTTPS pour l'ensemble du site Web et gérez le contenu non sécurisé au cas par cas.

Vous avez mentionné que certains s'exécutent dans des cadres en ligne. Si les URL principales des cadres en ligne utilisent HTTP, ceux-ci ne généreront pas d'avertissement de contenu mixte, car les scripts du cadre en ligne ne peuvent pas affecter le cadre parent.

S'il reste du contenu qui ne peut être confiné à un cadre en ligne ni récupéré via HTTPS, la seule option serait de l'acheminer via vos serveurs, c'est-à-dire de configurer un script qui télécharge certains contenus non sécurisés via HTTPS.

Approche des cadres

Si aucune des options ci-dessus n’est possible, vous pouvez placer le contenu entier dans un cadre ou une utilisation en ligne. Navigation AJAX.

Le plus grand défaut de cette approche pourrait être modifié en modifiant l’URL affichée par la barre d’adresse avec JavaScript (window.history.pushState('Object', 'Title', URL);).

Bien que ce soit encore moins que parfait, cela rendrait le site au moins navigable. Chrome affiche l'avertissement de contenu mixte une seule fois par onglet. Firefox et Internet Explorer l'afficher à chaque fois vous cliquez sur un lien.


3
2017-08-02 03:28



Malheureusement, il s’agit d’un site créé par un fournisseur, de sorte qu’une nouvelle conception n’est pas possible. J'oublie également de mentionner que les contrôles de connexion s'affichent sur chaque page, sans aucun moyen de les remplacer par un lien vers une page de connexion dédiée pouvant être chiffrée. Ainsi, la seule façon de s’assurer de l’authentification sécurisée est que chaque page utilise https (elle devrait être corrigée dans une prochaine version). Je vais creuser plus dans vos notes sur les iframes, cependant. J'étais sûr que le site utilisait déjà les iframes, mais si ce n'est pas le cas, je pourrais peut-être créer mes propres pages non sécurisées ailleurs et les inclure via iframe. - Joel Coehoorn


pourriez-vous afficher le chat dans une autre fenêtre (non sécurisée)?

sinon, vous devrez peut-être ajouter des exceptions par le biais de stratégies - pour IE, ce fichier reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]  
@=""  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superuser.com]  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superuser.com\www]  
"http"=dword:00000002 

ajouterai www.superuser.com aux emplacements de confiance


1
2017-08-01 18:44



L'ajouter à des emplacements de confiance est-il suffisant? Je pense qu'il va toujours avertir du mélange de http et https, même si le http est "approuvé" - Joel Coehoorn