Satu minggu yang lalu Google mengirimi saya email untuk membuka HTTPS. Jika saya tidak akan mentransfer HTTP ke HTTPS maka itu akan menunjukkan koneksi saya tanpa jaminan kepada semua pengunjung situs saya yang akan mencoba memasukkan teks di situs saya.
Tanpa menggunakan SSL, apakah ada cara lain untuk membuat koneksi saya aman? Karena ini terkait dengan proses yang mahal untuk menggunakan SSL di URL web, saya mencari opsi lain.
security
google-chrome
forms
Hasan M. Naheen
sumber
sumber
http://
tidak apa-apa, apa lagi yang ada selain ituhttps://
? Apakah adaabc://
,lgbtqiapk+://
ataudps://
?Jawaban:
Google tidak hanya mengeluh tentang "keamanan" (yang dapat mencakup sejumlah topik berbeda), tetapi juga secara khusus menargetkan enkripsi / HTTPS. Dengan HTTP sederhana, koneksi antara klien dan server tidak terenkripsi, memungkinkan siapa saja untuk berpotensi melihat dan mencegat apa pun yang dikirimkan. Biasanya hanya akan dipermasalahkan jika Anda mengizinkan pengguna untuk masuk (mis. Mengirimkan nama pengguna / kata sandi) atau mengirimkan informasi pembayaran melalui koneksi yang tidak dienkripsi. Pengiriman formulir "teks" umum tidak selalu menjadi masalah. Namun, seperti yang ditunjukkan @Kevin dalam komentar, Google / Chrome berencana untuk memperpanjang ini di masa mendatang :
Menginstal sertifikat SSL di situs Anda (atau menggunakan proxy front-end seperti Cloudflare untuk menangani SLL) adalah satu - satunya cara untuk mengenkripsi lalu lintas ke situs Anda.
Namun, ini belum tentu merupakan "proses mahal" hari ini. Cloudflare memiliki opsi "gratis" dan Let's Encrypt adalah Otoritas Sertifikat gratis yang didukung banyak host secara default.
sumber
Saya tidak merekomendasikan, tetapi Anda dapat mem-bypass pesan ini, dengan tidak menggunakan kolom teks input asli. Anda dapat membuat bidang input Anda sendiri, menggunakan reguler
div
yang memilikionkeypress
acara. Atau Anda dapat membuatdiv
elemen yangcontenteditable
atributnya ditetapkantrue
.Dengan cara ini, pengguna dapat memasukkan informasi di situs Anda, tanpa menggunakan
input
elemen tag.sumber
XMLlHTTPRequest
(alias AJAX) untuk mengirim informasiJika Anda hanya menyajikan file statis atau dapat meletakkan proxy di depan, Anda dapat menggunakan server seperti server caddy yang menangani semua ini untuk Anda dengan menggunakan memungkinkan enkripsi, ini menghilangkan rasa sakit dari penyediaan sertifikat dan Anda tidak perlu instal perangkat lunak lain apa pun.
Atau Anda dapat menggunakan layanan seperti cloudflare - paket gratis mereka menawarkan https gratis.
Akhirnya, beberapa host menawarkan sertifikat https gratis sekarang, termasuk dreamhost . Jadi, periksa apakah host Anda saat ini menawarkan ini sebagai opsi.
Saya tidak akan merekomendasikan mencoba mencari solusi, hanya ada satu cara untuk membuat situs Anda aman, dan browser pada akhirnya akan memperingatkan pada setiap situs yang tidak memiliki https, apa pun kontennya. Web bergerak menuju https di mana-mana.
sumber
tampaknya tidak ada orang lain yang menyebutkan,
jika Anda memiliki setiap mesin yang terhubung ke situs Anda
misalnya "ini mungkin bukan yang Anda inginkan", seperti pengaturan perusahaan, Anda dapat membuat otoritas sertifikat Anda sendiri, instal sertifikat publik itu ke semua mesin (baik ke semua browser dan toko cert) yang terhubung ke situs Anda. opsi ini bebas dari monetisasi pihak ketiga; itu enkripsi sandi yang sama, Anda tidak masuk ke kepercayaan publik (mis. otoritas Anda tidak dikenali oleh Google Chrome, Mozilla Firefox dll, seperti yang dilakukan Let's Encrypts), tetapi itu akan dikenali oleh mesin yang Anda konfigurasikan untuk memercayai diri sendiri .
memang kesepakatan untuk mendirikan otoritas sertifikat agak rumit dan pemeliharaan bisa jadi banyak pekerjaan - jadi saya akan meninggalkannya di sini, Anda mungkin sebaiknya melakukan riset menyelam dalam pada topik yang benar-benar Anda minati dalam pendekatan ini.
meskipun untuk penyebaran nieve, jika Anda dapat mencoba XCA
XCS adalah cara yang layak untuk mengeluarkan sertifikat untuk penyebaran kecil dan termasuk dokumentasi bantuan yang berjalan melalui seluruh pengaturan.
sumber
Saya punya beberapa ide.
Jika alasan HTTPS adalah untuk mengelola login, maka Anda dapat meminimalkan efek di semua browser dengan menawarkan pengguna untuk tetap masuk. Kemudian ketika pengguna login, cookie dapat disimpan secara permanen di komputer pengguna sehingga pada saat berikutnya pengguna menyalakan komputernya untuk mengakses situs, ia akan secara otomatis login bukannya selalu disajikan dengan prompt login dan mungkin peringatan keamanan.
Gagasan lain yang dapat mem-bypass pesan tetapi yang akan lebih berfungsi baik pada tamu dan server adalah membuat tamu mengunggah file khusus dengan konfigurasi yang tepat dienkripsi. Misalnya, untuk layar masuk, alih-alih meminta pengguna untuk memasukkan nama pengguna dan kata sandi dalam dua kotak teks, minta pengguna mengunggah file kecil yang berisi nama pengguna dan kata sandi yang dienkripsi (misalnya, mengompres nama pengguna dan kata sandi sebagai kode pos). file dengan tingkat kompresi tertentu) maka server dapat mendekripsi file untuk mengekstrak nama pengguna dan kata sandi. Peretas potensial akan melihat omong kosong dalam perjalanan ketika pengguna mengirim file ke server. Hanya sedikit keuntungan dari ide ini adalah kecepatan koneksi yang sedikit lebih cepat karena pemrosesan koneksi SSL tidak terjadi di HTTP.
sumber
Tidak.
Setiap retas yang Anda coba (mis. Seperti mencoba mengenkripsi dengan javascript), sangat tidak mungkin bahkan mendekati aman.
SSL tidak harus "mahal", banyak penyedia hosting menawarkannya secara gratis. Dan bahkan hal-hal seperti cloudflare menawarkan SSL gratis, dan menjaga hosting saat ini.
sumber
Solusi gratis dan cepat adalah Let's Encrypt. Tautan Mereka memiliki dokumentasi untuk hampir setiap OS server. Kami menggunakannya di tempat kerja kami, dan vendor W2P kami menggunakannya untuk mengamankan setiap etalase kami.
sumber