Bisakah saya “Percayai” situs web non-SSL untuk disertakan dengan situs SSL?

2

Bisakah saya membuat pengecualian di browser Windows utama (IE, Firefox, Chrome, Safari) untuk peringatan konten tidak aman yang Anda dapatkan saat mencampur https dan http pada halaman yang sama?

KAMI memiliki situs yang perlu menjalankan https ... memungkinkan siswa di sini untuk membayar tagihan mereka secara online, mendaftar untuk kelas, melihat nilai mereka, perumahan, bantuan provinsi, dll, dan memungkinkan fakultas untuk melihat informasi siswa yang sesuai (dilindungi FERPA). Konten situs seharusnya tidak pernah terlihat di http vanilla tidak terenkripsi.

Salah satu fitur dari situs ini adalah ia juga merupakan portal. Siswa dapat mengobrol, memposting ke papan pesan (untuk dijual, naik rumah, dll), dan - melalui iframe - setup "gadget". Ada beberapa gadget bawaan yang disematkan, seperti penghitung penggunaan cetak, facebook (untuk mendorong penggunaan portal), pencarian katalog kartu perpustakaan, dan lainnya, dan siswa dapat mengatur kemenangan mereka - dan beberapa di antaranya tidak mendukung https di semua. Kami tahu bahwa siswa benar-benar menggunakan situs ini secara teratur, dan ini dimuat sebagai laman beranda di laboratorium komputer kami.

Sayangnya, ini mengarah pada peringatan buruk tentang pencampuran konten yang aman dan tidak aman. Saya tahu apa peringatan ini, mengapa ada, dan mengapa itu penting (kerentanan XSS berpotensi membiarkan javascript jahat dalam gadget mengunggah info siswa ke server jauh). Yang mengatakan, saya juga mengontrol penyebaran situs-situs ini, jadi untuk komputer yang saya kelola sendiri, saya bisa tahu bahwa konten ini baik-baik saja.

Ini membawa saya ke pertanyaan saya. Untuk komputer milik perguruan tinggi kita, setidaknya, saya ingin menonaktifkan peringatan di IE, Firefox, Safari, dan Chrome, hanya untuk konten tidak aman yang spesifik dan hanya pada halaman-halaman tertentu di mana kita telah memasukkannya . Saya pasti tidak ingin menonaktifkan blok dan peringatan ini secara umum. Saya hanya berbicara tentang konten spesifik yang dipermasalahkan, beberapa di antaranya didasarkan pada perangkat lunak vendor yang tidak dapat saya setel untuk menggunakan https. Apakah ini mungkin?

windows security browser Joel Coehoorn
sumber
> beberapa di antaranya didasarkan pada perangkat lunak vendor yang tidak dapat saya atur untuk menggunakan https => yakin Anda bisa, cukup tempelkan proxy terbalik (via nginx, haproxy, apache httpd, dll.) di depannya sebagai terminasi TLS proksi . Selama Anda dapat memilih URL yang akan digunakan untuk 'gadget' ini, Anda dapat mengarahkannya ke proksi (dan mengarahkan proksi di server HTTP).
Bob

Jawaban:

3

Untuk komputer milik perguruan tinggi kita, setidaknya, saya ingin menonaktifkan peringatan di IE, Firefox, Safari, dan Chrome, hanya untuk konten tidak aman yang spesifik dan hanya pada halaman-halaman tertentu di mana kita telah memasukkannya . Apakah ini mungkin?

Sejauh yang saya tahu, tidak ada cara untuk melakukan ini di Firefox atau Chrome.

Anda dapat mengizinkan konten tidak aman dari situs web tertentu di Internet Explorer, tetapi Anda tidak dapat membatasi pengecualian itu untuk halaman tertentu di mana Anda memasukkannya.

Begini caranya:

  1. Buka Internet Options ( Alt, T, O) dan beralih ke Security tab.

  2. Pilih situs Tepercaya .

  3. Klik Custom tingkat ... .

  4. Di Lain-lain , cari Konten Campuran Tampilan dan pilih Aktifkan .

  5. Klik OK dua kali, lalu Situs .

  6. Hapus centang ** Memerlukan verifikasi server (https :) untuk semua situs di zona ini.

  7. Tambahkan situs web yang menyediakan konten tidak aman ke zona.

    Misalnya, https://xkcd.commemerlukan file CSS dari http://imgs.xkcd.com, jadi Anda akan menambah http://imgs.xkcd.comzona situs tepercaya.

  8. Klik Tutup , lalu OK atau Terapkan .

Yang sedang berkata, saya pikir Anda menyerang masalah ini dengan cara yang salah. Peramban utama semakin bertele-tele tentang konten campuran, dan tren itu tidak mungkin berubah. Bahkan jika Anda dapat menonaktifkan peringatan untuk komputer yang dimiliki perguruan tinggi, itu masih tidak akan menyelesaikan masalah di setiap komputer lain. Sementara beberapa pengguna mungkin menonaktifkan peringatan tersebut (merah dan silang https:cukup untuk saya), semua yang lain akan merasakan pengalaman menjelajah yang mengerikan.

Satu-satunya cara untuk benar-benar menyelesaikan masalah ini adalah dengan mengubah desain situs web:

Pendekatan HTTP-mana-mungkin

Alihkan seluruh situs web ke HTTP dan pesan HTTPS untuk konten yang benar-benar membutuhkannya.

Misalnya, benar-benar tidak perlu mengobrol saat Anda membayar tagihan. Bagian penagihan dapat berjalan dengan baik tanpa gadget tambahan.

Informasi sensitif lainnya dapat ditampilkan dalam bingkai sebaris atau ditarik / didorong dengan AJAX. Opsi terakhir - tentu saja - masih akan menampilkan peringatan buruk kepada pengguna yang menonaktifkan JavaScript, tetapi saya kira sebagian besar gadget tetap memerlukannya, jadi mereka bisa saja dihapus dalam versi mundur.

Pendekatan HTTPS-di mana dimungkinkan

Tetap menggunakan HTTPS untuk seluruh situs web dan berurusan dengan konten tidak aman berdasarkan kasus per kasus.

Anda menyebutkan bahwa beberapa dijalankan dalam bingkai inline. Jika URL utama frame inline menggunakan HTTP, itu tidak akan menghasilkan peringatan konten campuran, karena skrip dari frame inline tidak dapat memengaruhi frame induk.

Jika ada beberapa konten yang tersisa yang tidak dapat terbatas pada bingkai inline atau diambil melalui HTTPS, satu-satunya pilihan adalah untuk merutekannya melalui server Anda, yaitu, mengatur skrip yang mengunduh konten tidak aman tertentu ketika diminta dan meneruskannya kepada pengguna melalui HTTPS.

Pendekatan frame

Jika tak satu pun dari opsi di atas dimungkinkan, Anda dapat menempatkan seluruh konten dalam bingkai inline atau menggunakan navigasi AJAX .

Kelemahan terbesar dari pendekatan ini dapat diubah dengan mengubah URL yang ditampilkan oleh bilah alamat dengan JavaScript ( window.history.pushState('Object', 'Title', URL);).

Meskipun ini masih kurang sempurna, itu akan membuat situs setidaknya dapat dijelajahi. Chrome menampilkan peringatan konten campuran hanya sekali per tab. Firefox dan Internet Explorer menampilkannya setiap kali Anda mengklik tautan.

Dennis
sumber
Sayangnya, ini adalah situs buatan vendor, jadi pendesainan ulang tidak mungkin dilakukan. Saya juga lupa menyebutkan bahwa kontrol login ditampilkan di setiap halaman, tanpa ada cara untuk menggantinya dengan tautan ke halaman login khusus yang dapat dienkripsi. Dengan demikian, satu-satunya cara untuk memastikan otentikasi aman adalah agar setiap halaman menggunakan https (mereka harus memperbaikinya dalam versi yang akan datang). Saya akan menggali lebih dalam catatan Anda tentang iframe. Saya yakin situs itu sudah menggunakan iframe, tetapi jika bukan itu masalahnya saya mungkin dapat membuat halaman tidak aman saya sendiri di tempat lain dan memasukkannya melalui iframe.
Joel Coehoorn
1

bisakah Anda memunculkan obrolan di jendela lain (tidak aman)?

jika tidak, Anda mungkin harus menambahkan pengecualian melalui kebijakan - untuk IE, file Reg ini

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]  
@=""  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superuser.com]  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superuser.com\www]  
"http"=dword:00000002

akan menambahkan www.superuser.com ke lokasi tepercaya

SeanC
sumber
1
Apakah menambahkannya ke lokasi tepercaya cukup baik? Saya pikir itu masih akan memperingatkan tentang campuran http dan https, meskipun http itu "tepercaya"
Joel Coehoorn