Posso “confiar” no site não SSL para inclusão no site SSL?

Navegue suas respostas
2

Posso criar isenções nos principais navegadores do Windows (IE, Firefox, Chrome, Safari) para os avisos de conteúdo inseguro que você recebe ao misturar https e http na mesma página?

Temos um site que precisa executar o https ... ele permite que os alunos paguem suas contas on-line, inscrevam-se nas aulas, visualizem suas notas, hospedagem, ajuda financeira etc. e permitam que os professores visualizem as informações apropriadas do aluno protegido). O conteúdo do site deve ser praticamente nunca mais visto sobre http: // www. Vanilla descriptografada.

Uma das características deste site é que também é um portal. Os alunos podem bater papo, postar em quadros de mensagens (para venda, dirigir em casa, etc), e - através de iframes - configurar "gadgets". Existem alguns gadgets padrão incorporados, como um contador de uso de impressão, facebook (para incentivar o uso do portal), pesquisa de catálogo de cartão de biblioteca e outros, e os alunos podem configurar seus ganhos - e alguns deles não oferecem suporte a https todos. Sabemos que os alunos estão usando esse site regularmente e são carregados como a home page em nossos laboratórios de informática.

Infelizmente, isso leva a avisos desagradáveis sobre a mistura de conteúdo seguro e inseguro. Eu sei quais são esses avisos, porque eles os têm e por que eles são importantes (vulnerabilidades de XSS poderiam permitir que um javascript desonesto em um gadget enviasse informações de alunos para um servidor remoto). Dito isso, eu também controlo a implantação desses sites, então, para meus próprios computadores gerenciados, posso saber que esse conteúdo está correto.

Isso me leva à minha pergunta. No entanto, para os computadores de nossa faculdade, gostaria de desativar os avisos no IE, Firefox, Safari e Chrome, apenas para esse conteúdo específico inseguro e apenas nas páginas específicas em que o incluímos . Eu definitivamente não quero desativar esses bloqueios e avisos em geral. Estou falando apenas do conteúdo específico em questão, alguns dos quais são baseados em software de fornecedor que não posso definir apenas para usar https. Isso é possível?

    
por Joel Coehoorn 01.08.2012 / 20:25

2 respostas

3

For our college-owned computers, at least, I would like to disable the warnings in IE, Firefox, Safari, and Chrome, for just that specific insecure content and in just those specific pages where we've included it. Is this possible?

Até onde eu sei, não há como fazer isso no Firefox ou no Chrome.

Você pode permitir conteúdo inseguro de determinados sites no Internet Explorer, mas não pode restringir essa exceção às páginas específicas em que você a incluiu.

Veja como:

  1. Abra Opções da Internet ( Alt , T , O ) e mude para o Guia Segurança .

  2. Selecione Sites confiáveis .

  3. Clique em Nível personalizado ... .

  4. Em Diversos , pesquise Exibir conteúdo misto e selecione Ativar .

  5. Clique duas vezes em OK e depois em Sites .

  6. Desmarque ** Exigir verificação do servidor (https :) para todos os sites desta zona.

  7. Adicione os sites que fornecem o conteúdo inseguro à zona.

    Por exemplo, https://xkcd.com requer um arquivo CSS de http://imgs.xkcd.com , portanto, você adicionaria http://imgs.xkcd.com à zona de sites confiáveis.

  8. Clique em Fechar , depois em OK ou Aplicar .

Dito isto, acho que você está atacando esse problema da maneira errada. Os principais navegadores estão ficando cada vez mais pedantes em relação a conteúdo misto, e é improvável que essa tendência mude. Mesmo se você pudesse desativar os avisos para os computadores da faculdade, isso ainda não resolveria o problema em todos os outros computadores. Embora alguns usuários possam ter esses avisos totalmente desativados (o% e% de https: vermelho e cruzado é um aviso suficiente para mim), todos os outros terão uma experiência de navegação horrível.

A única maneira de realmente resolver esse problema seria alterar o design do site:

Abordagem HTTP-onde-possível

Mude todo o site para HTTP e reserve HTTPS para o conteúdo que realmente precisa dele.

Por exemplo, não há necessidade de conversar enquanto você está pagando uma conta. A seção de faturamento poderia se sair bem sem nenhum gadget extra.

Outras informações confidenciais podem ser exibidas em quadros embutidos ou serem puxadas / empurradas com o AJAX. A última opção, é claro, ainda exibiria advertências desagradáveis para os usuários com JavaScript desabilitado, mas suponho que a maioria dos gadgets exigisse de qualquer maneira, para que pudessem ser removidos apenas na versão de fallback.

Abordagem HTTPS-onde-possível

Continue usando HTTPS para todo o site e lide com o conteúdo inseguro caso a caso.

Você mencionou que alguns são executados em quadros inline. Se as URLs principais dos frames inline usarem HTTP, elas não gerarão avisos de conteúdo misto, pois os scripts do frame in-line não podem afetar o frame pai.

Se ainda houver algum conteúdo que não possa ser confinado a um quadro embutido nem recuperado por HTTPS, a única opção seria encaminhá-lo pelos seus servidores, ou seja, configurar um script que baixe determinado conteúdo inseguro quando solicitado e o encaminhe para o usuário via HTTPS.

Abordagem de quadros

Se nenhuma das opções acima for possível, você poderá colocar todo o conteúdo em um quadro incorporado ou usar navegação AJAX .

A maior falha dessa abordagem pode ser alterada alterando o URL exibido pela barra de endereço com JavaScript ( window.history.pushState('Object', 'Title', URL); ).

Embora isso ainda seja menos que perfeito, ele tornaria o site pelo menos navegável. O Chrome exibe o aviso de conteúdo misto apenas uma vez por guia. O Firefox e o Internet Explorer exibem todas as vezes que você clica em um link.

    
por 02.08.2012 / 05:28
1

você poderia abrir a conversa em outra janela (não segura)?

caso contrário, você pode ter que adicionar exceções através de políticas - para o IE, este arquivo Reg 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]  
@=""  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superuser.com]  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superuser.com\www]  
"http"=dword:00000002

adicionará www.superuser.com aos locais confiáveis

    
por 01.08.2012 / 20:44

Tags

Usando a chave privada local via putty - shell no servidor remoto - github Como funcionam códigos de cores de doze caracteres? [duplicado]