Bagaimana cara menyajikan konten statis tanpa https di situs yang aman?

8

Saya ingin menayangkan konten statis dari situs saya tetapi situs saya hanya https. Server http statis saya hanya melayani konten http (non https) tetapi banyak pengguna IE mengeluh karena tidak dapat masuk.

Apa yang harus saya lakukan? Haruskah saya menambahkan https ke server http konten statis saya?

https internet-explorer licorna
sumber

Jawaban:

13

Internet Explorer dan saya pikir beberapa browser lain akan memperingatkan pengguna ketika aset situs menggunakan httpsprotokol dilayani http. Solusi terbaik pertama adalah mengizinkan server aset statis Anda menyajikan konten yang aman dan membuat situs Anda menggunakan protokol yang konsisten. Solusi terbaik kedua adalah membuat halaman di situs aman Anda yang merupakan proxy, pada dasarnya Anda perlu membuat halaman dinamis yang memanggil halaman eksternal atau aset, dan mengembalikannya melalui proxy itu. Bagaimana halaman itu ditulis tergantung pada bahasa pemrograman dinamis apa yang tersedia untuk Anda di server yang aman.

Pada dasarnya IE memiliki masalah keamanan yang sah dengan protokol pencampuran. Ia tahu itu bisa mempercayai httpsserver, tetapi tidak mempercayai yang httpsatu.

artlung
sumber
1
Browser lain menurun dalam mode yang kurang berisik untuk konten campuran, sering memodifikasi perilaku ikon 'gembok' yang hanya setengah dari populasi internet yang memperhatikan. Saya setuju bahwa IE melakukan 'hal yang benar (TM)' dengan melemparkan peringatan yang jelas. Benar, beberapa elemen dikirim dengan aman, beberapa tidak.
Tim Post
Semakin cepat ada dukungan asli untuk memblokir cookie ke HTTP saat menggunakan HTTPS semakin cepat pesan ini bisa hilang dan berhenti menyebabkan masalah. Tidak seperti header HTTP tambahan yang bahkan dicari untuk konten statis yang disajikan jauh dari halaman HTTPS.
Metalshark
2
@Metalshark: ini lebih dari sekadar tentang cookie. Saat Anda melihat halaman HTTPS, Anda ingin dapat mempercayai semua yang dikatakannya. Seseorang dapat memalsukan gambar dan mengganti apa yang ditampilkan / dikatakan, misalnya. Anda juga ingin menautkan ke skrip tepercaya dan tidak diubah.
Bruno
0

Saya pikir Anda perlu mengklarifikasi pemikiran Anda karena pertanyaan Anda tidak terlalu masuk akal.

Statis dan aman tidak saling eksklusif atau bahkan terkait satu sama lain. Anda dapat memiliki konten statis yang aman dan konten non-statis yang tidak aman. Aman berarti terenkripsi (SSL, yaitu, https). Statis berarti tidak dihasilkan per permintaan untuk klien. Ini adalah dua konsep yang berbeda secara mendasar.

Jika Anda tidak mencampur terminologi Anda, maka saya akan bertanya mengapa server aman Anda tidak dapat menyajikan konten statis. Dugaan saya adalah ya, jadi Anda hanya perlu menempatkan konten statis Anda ke server yang aman dan kemudian browser tidak akan mengeluh tentang konten campuran http / https karena semuanya akan menjadi https. Jika benar-benar ada beberapa batasan teknis pada server aman yang mencegahnya menyajikan konten statis (misalnya, bahkan tidak dapat melayani file CSS), maka ya, Anda harus melihat menambahkan SSL ke server lain yang Anda gunakan.

SW
sumber