Apakah ada opsi lain selain HTTPS untuk mengamankan situs web untuk menghindari peringatan input teks di Chrome?

16

Satu minggu yang lalu Google mengirimi saya email untuk membuka HTTPS. Jika saya tidak akan mentransfer HTTP ke HTTPS maka itu akan menunjukkan koneksi saya tanpa jaminan kepada semua pengunjung situs saya yang akan mencoba memasukkan teks di situs saya.

Tanpa menggunakan SSL, apakah ada cara lain untuk membuat koneksi saya aman? Karena ini terkait dengan proses yang mahal untuk menggunakan SSL di URL web, saya mencari opsi lain.

security google-chrome forms Hasan M. Naheen
sumber
27
Sudahkah Anda melihat letsencrypt.org ? Ini mengeluarkan sertifikat HTTPS gratis. Agak sulit untuk mengaturnya dari awal, tetapi banyak perusahaan hosting yang menerapkannya untuk Anda.
Stephen Ostermiller
6
Anda juga dapat menggunakan cloudflare yang akan memberi Anda sertifikat SSL gratis.
Ave
2
Pertanyaannya bukan "bagaimana menggunakan HTTPS", tetapi lebih luas dari itu: jika http://tidak apa-apa, apa lagi yang ada selain itu https://? Apakah ada abc://, lgbtqiapk+://atau dps://?
Konerak
4
"Proses mahal"? Mari mengenkripsi gratis. Juga: doesmysiteneedhttps.com
Andrea Lazzarotto

Jawaban:

41

apakah ada cara lain untuk membuat koneksi saya aman?

Google tidak hanya mengeluh tentang "keamanan" (yang dapat mencakup sejumlah topik berbeda), tetapi juga secara khusus menargetkan enkripsi / HTTPS. Dengan HTTP sederhana, koneksi antara klien dan server tidak terenkripsi, memungkinkan siapa saja untuk berpotensi melihat dan mencegat apa pun yang dikirimkan. Biasanya hanya akan dipermasalahkan jika Anda mengizinkan pengguna untuk masuk (mis. Mengirimkan nama pengguna / kata sandi) atau mengirimkan informasi pembayaran melalui koneksi yang tidak dienkripsi. Pengiriman formulir "teks" umum tidak selalu menjadi masalah. Namun, seperti yang ditunjukkan @Kevin dalam komentar, Google / Chrome berencana untuk memperpanjang ini di masa mendatang :

Akhirnya, kami berencana untuk memberi label pada semua halaman HTTP sebagai tidak aman, dan mengubah indikator keamanan HTTP ke segitiga merah yang kami gunakan untuk HTTPS yang rusak.

Menginstal sertifikat SSL di situs Anda (atau menggunakan proxy front-end seperti Cloudflare untuk menangani SLL) adalah satu - satunya cara untuk mengenkripsi lalu lintas ke situs Anda.

Namun, ini belum tentu merupakan "proses mahal" hari ini. Cloudflare memiliki opsi "gratis" dan Let's Encrypt adalah Otoritas Sertifikat gratis yang didukung banyak host secara default.

DocRoot
sumber
3
"Biasanya hanya akan dipermasalahkan jika Anda mengizinkan pengguna untuk masuk (mengirimkan nama pengguna / kata sandi) atau mengirimkan informasi pribadi melalui koneksi yang tidak dienkripsi." Teks "umum tidak selalu menjadi masalah." Ini tidak lama lagi benar; Chrome akan menampilkan peringatan untuk bidang entri teks APA PUN. Itu tidak bisa membedakan antara informasi yang berpotensi sensitif dan hal-hal jinak seperti pencarian, jadi keputusan dibuat untuk hanya memperingatkan tentang segalanya.
Muzer
2
@Muzer Ini juga umumnya tidak decidable jika input teks adalah sensitif - jika saya ketik di alamat rumah saya, atau melakukan pencarian untuk masalah medis yang memalukan saya, mereka bisa menjadi sangat menarik untuk lubang kebocoran.
apsillers
6
Akhirnya, Chrome akan menampilkan peringatan ini untuk semua situs HTTP , jadi tidak ada alternatif jangka panjang untuk HTTPS.
Kevin
3
Jawaban ini tidak memiliki keuntungan terbesar bagi HTTPS dibandingkan enkripsi sederhana ujung ke ujung, yaitu identitas. HTTPS memungkinkan server Anda untuk membuktikan kepada kliennya bahwa itu sebenarnya server yang diklaimnya tanpa harus secara khusus mengatur metode otentikasi sebelumnya. Enkripsi end-to-end sendiri tidak membantu jika klien telah terhubung ke server yang dimiliki oleh aktor jahat.
IllusiveBrian
4
@IllusiveBrian Meskipun pertanyaan ini tidak benar-benar tentang "kelebihan HTTPS" (ada pertanyaan yang sudah ada yang membahas hal itu), pertanyaan ini adalah tentang mencoba menghindari "peringatan" keamanan browser di Google / Chrome. Tetapi HTTPS tidak selalu "membuktikan identitas" - untuk melakukan itu Anda harus membayar lebih banyak uang untuk sertifikat OV atau EV. Dalam konteks pertanyaan ini, semuanya tentang enkripsi.
DocRoot
4

Saya tidak merekomendasikan, tetapi Anda dapat mem-bypass pesan ini, dengan tidak menggunakan kolom teks input asli. Anda dapat membuat bidang input Anda sendiri, menggunakan reguler divyang memiliki onkeypressacara. Atau Anda dapat membuat divelemen yang contenteditableatributnya ditetapkan true.

Dengan cara ini, pengguna dapat memasukkan informasi di situs Anda, tanpa menggunakan inputelemen tag.

Aminadav Glickshtein
sumber
41
Ini ide yang sangat buruk. Itu tidak memecahkan masalah keamanan yang mendorong Google untuk Anda selesaikan, dan kemungkinan akan menyebabkan masalah bagi pengguna yang menggunakan situs Anda dengan cara yang sedikit berbeda dengan cara Anda mengujinya (misalnya browser yang berbeda, telepon, pembaca layar dll). Kemungkinan juga akan merusak pengelola kata sandi.
thelem
Memposting formulir akan bermasalah dengan pendekatan ini.
the_lotus
3
Anda tidak perlu memposting FORMULIR. Anda dapat menggunakan XMLlHTTPRequest(alias AJAX) untuk mengirim informasi
Aminadav Glickshtein
18
Saya akan mengubah jawaban Anda dari "tidak merekomendasikan" menjadi "tidak pernah melakukan ini". Anda menghindari begitu banyak standar melakukan ini, Anda mungkin juga tidak membuat aplikasi web lagi.
Caimen
2
Apakah saya benar-benar membutuhkan 125 poin untuk mengurungkan hal ini? oO
Andrea Lazzarotto
4

Jika Anda hanya menyajikan file statis atau dapat meletakkan proxy di depan, Anda dapat menggunakan server seperti server caddy yang menangani semua ini untuk Anda dengan menggunakan memungkinkan enkripsi, ini menghilangkan rasa sakit dari penyediaan sertifikat dan Anda tidak perlu instal perangkat lunak lain apa pun.

Atau Anda dapat menggunakan layanan seperti cloudflare - paket gratis mereka menawarkan https gratis.

Akhirnya, beberapa host menawarkan sertifikat https gratis sekarang, termasuk dreamhost . Jadi, periksa apakah host Anda saat ini menawarkan ini sebagai opsi.

Saya tidak akan merekomendasikan mencoba mencari solusi, hanya ada satu cara untuk membuat situs Anda aman, dan browser pada akhirnya akan memperingatkan pada setiap situs yang tidak memiliki https, apa pun kontennya. Web bergerak menuju https di mana-mana.

Kenny Grant
sumber
1
Firefox juga telah memperkenalkan peringatan sekarang pada halaman login yang tidak aman, dan semua browser utama telah memilih untuk memberikan http2 hanya dengan dukungan https, yang berarti versi protokol berikutnya adalah https de-facto saja.
Kenny Grant
1
@closetnoc GoDaddy adalah rip-off dalam berbagai cara. Kami (perusahaan webdev) biasa membeli sertifikat kami seharga € 7 per tahun, yang terjangkau tetapi tidak untuk seratus situs. Sekarang, kami menggunakan Let's Encrypt dan mendapatkannya secara gratis sehingga kami telah menempatkan SSL pada semuanya. Pelanggan kami menyukainya dan kami senang menggunakan HTTP / 2. Tidak punya masalah dengan pembaruan. Sertifikat berlangsung selama 90 hari dan kami mulai mencoba memperbarui setiap hari setelah 60 hari. Banyak tumpang tindih jika terjadi kesalahan (yang belum). Gunakan Cloudflare jika Anda tidak ingin repot.
Martijn Heemels
1
@closetnoc ssl lebih dari enkripsi, ia juga memastikan integritas, keamanan, dan privasi, sehingga hal-hal di halaman tidak dapat dilihat (misalnya, perusahaan Anda, negara penyelamat) atau diubah (misalnya iklan yang disuntikkan) oleh MitM'er. Selain itu, mencegah orang dari MitMing untuk mengendus data otentikasi teman Anda (yang mungkin dapat digunakan untuk mengunggah konten yang tidak diinginkan ke situs). Juga, kata Martijn, GoDaddy adalah penipuan besar, dan secara keseluruhan tidak menguntungkan. Saya akan merekomendasikan teman Anda untuk melihat domain google, namecheap dan gandi (saya tidak berafiliasi dengan siapa pun).
Ave
1
@ MartijnHeemels Saya setuju GoDaddy terlalu mahal. WAKTU BESAR! Sepertinya Let's Encrypt adalah cara untuk pergi ke sebagian besar situs yang umumnya jinak dalam konten. Saya dapat melihat akan untuk sertifikat sepenuhnya diperiksa untuk beberapa situs juga. Apakah Anda percaya saya dulu otoritas sertifikat? Saya kira saya lebih suka ketika sertifikat adalah satu tahun. Saya tidak percaya periode waktu yang lebih pendek. Tapi pilihan apa yang ada hari ini? Bersulang!!
closetnoc
1
@closetnoc Tidak sulit untuk menemukan sertifikat SSL berbayar dari CA yang diakui dengan validitas 1 tahun untuk masing-masing sekitar $ 10. Tapi itu jelas tidak akan memberi Anda sertifikat "sepenuhnya diperiksa"; jika Anda benar-benar menginginkannya, Anda harus melompat melewati lingkaran untuk mendapatkan sertifikat EV, dan membayar harga yang sesuai (dan seperti yang telah ditunjukkan sebelumnya, bahkan sertifikat EV tidak sempurna atau datang tanpa peringatan). Let's Encrypt membahas beberapa alasan mengapa sertifikat mereka hanya berlaku selama 90 hari di situs web mereka, tetapi keberadaan Let's Encrypt belum menyebabkan CA komersial menarik penawaran sertifikat DV mereka.
CVn
4

tampaknya tidak ada orang lain yang menyebutkan,

jika Anda memiliki setiap mesin yang terhubung ke situs Anda

misalnya "ini mungkin bukan yang Anda inginkan"

, seperti pengaturan perusahaan, Anda dapat membuat otoritas sertifikat Anda sendiri, instal sertifikat publik itu ke semua mesin (baik ke semua browser dan toko cert) yang terhubung ke situs Anda. opsi ini bebas dari monetisasi pihak ketiga; itu enkripsi sandi yang sama, Anda tidak masuk ke kepercayaan publik (mis. otoritas Anda tidak dikenali oleh Google Chrome, Mozilla Firefox dll, seperti yang dilakukan Let's Encrypts), tetapi itu akan dikenali oleh mesin yang Anda konfigurasikan untuk memercayai diri sendiri .

memang kesepakatan untuk mendirikan otoritas sertifikat agak rumit dan pemeliharaan bisa jadi banyak pekerjaan - jadi saya akan meninggalkannya di sini, Anda mungkin sebaiknya melakukan riset menyelam dalam pada topik yang benar-benar Anda minati dalam pendekatan ini.

meskipun untuk penyebaran nieve, jika Anda dapat mencoba XCA

XCS adalah cara yang layak untuk mengeluarkan sertifikat untuk penyebaran kecil dan termasuk dokumentasi bantuan yang berjalan melalui seluruh pengaturan.

ThorSummoner
sumber
2
Anda hampir pasti akan menghabiskan lebih banyak menyiapkan CA Anda sendiri (dalam jam kerja, jika tidak ada yang lain) daripada dengan membeli sertifikat SSL komersial. Lalu, selalu ada kemungkinan melakukan sesuatu yang salah.
Eric J.
1

Saya punya beberapa ide.

Jika alasan HTTPS adalah untuk mengelola login, maka Anda dapat meminimalkan efek di semua browser dengan menawarkan pengguna untuk tetap masuk. Kemudian ketika pengguna login, cookie dapat disimpan secara permanen di komputer pengguna sehingga pada saat berikutnya pengguna menyalakan komputernya untuk mengakses situs, ia akan secara otomatis login bukannya selalu disajikan dengan prompt login dan mungkin peringatan keamanan.

Gagasan lain yang dapat mem-bypass pesan tetapi yang akan lebih berfungsi baik pada tamu dan server adalah membuat tamu mengunggah file khusus dengan konfigurasi yang tepat dienkripsi. Misalnya, untuk layar masuk, alih-alih meminta pengguna untuk memasukkan nama pengguna dan kata sandi dalam dua kotak teks, minta pengguna mengunggah file kecil yang berisi nama pengguna dan kata sandi yang dienkripsi (misalnya, mengompres nama pengguna dan kata sandi sebagai kode pos). file dengan tingkat kompresi tertentu) maka server dapat mendekripsi file untuk mengekstrak nama pengguna dan kata sandi. Peretas potensial akan melihat omong kosong dalam perjalanan ketika pengguna mengirim file ke server. Hanya sedikit keuntungan dari ide ini adalah kecepatan koneksi yang sedikit lebih cepat karena pemrosesan koneksi SSL tidak terjadi di HTTP.

Mike
sumber
Versi Chrome yang akan datang akan memperingatkan tentang input teks apa pun, bukan hanya bidang kata sandi. Data apa pun yang menggunakan formulir HTML harus HTTPS untuk menghindari peringatan, bukan hanya login. Google telah mengirimkan pemberitahuan melalui Search Console ke pemilik situs web yang situs webnya menurut Google akan diberlakukan.
Stephen Ostermiller
1

Tidak.

Setiap retas yang Anda coba (mis. Seperti mencoba mengenkripsi dengan javascript), sangat tidak mungkin bahkan mendekati aman.

SSL tidak harus "mahal", banyak penyedia hosting menawarkannya secara gratis. Dan bahkan hal-hal seperti cloudflare menawarkan SSL gratis, dan menjaga hosting saat ini.

Mazharul Haq SEO
sumber
-3

Solusi gratis dan cepat adalah Let's Encrypt. Tautan Mereka memiliki dokumentasi untuk hampir setiap OS server. Kami menggunakannya di tempat kerja kami, dan vendor W2P kami menggunakannya untuk mengamankan setiap etalase kami.

Riddjim
sumber
3
Jawaban ini tidak menambahkan apa pun yang belum dikatakan.
Stephen Ostermiller