0

http(http://mysite.com)とhttps(https://mysite.com)の両方からアクセスできるサイトがあります。httpsバージョンはセキュリティで保護されたコンテンツを保持しますが、httpコンテンツは公開されています。両方のコンテンツは同じサーバー上にあります。

一部のhttpsページには、httpページでホストされている画像などの要素が含まれています。そのため、httpsサイトにアクセスすると、IEのセキュリティアラートがポップアップ表示され、必要なコンテンツに安全でないデータが含まれていることが示されます。とにかくリスクがないことを知っているので、私はそのポップアップを止めたいと思います。これは、クライアント側のIEの設定を介してのみ実行する必要がありますか、それともSSL証明書と構成について何かを実行する必要がありますか?ガイドは大歓迎です。

4

2 に答える 2

2

その性質のポップアップを表示するブラウザはIEだけではありません。メモリから、FirefoxとChromeには同様の警告があります(南京錠を外したりhttps、アドレスバーが緑色ではなく赤色になったりするなど)。

それをなくすことができる唯一の方法は、httpsページのhttpsリソースのみを参照することです。参照しているものに安全なバージョンがないことを確認しましたか?私が使用したすべてのツールには、通常、同等のhttps://ドメインがあります。

于 2012-06-25T14:11:14.173 に答える
2

アラートは理由があることを理解してください。適切なSSL証明書は、 man-in-the-middle攻撃から保護します*。https以外のソースからリソースをロードすると、中間者攻撃による保護が失われます。ユーザーのデータはまだ暗号化されている可能性がありますが、ユーザーがすべてのデータを、それ自体を復号化している攻撃者のコンピューターに送信しているかどうかは、実際には問題ではありません。

HTTPSはオールオアナッシングスキームであることを覚えておく必要があります。非HTTPS要素をページに導入するとすぐに、SSLが提供する必要のあるすべてのセキュリティが本質的に失われます。

リソースをHTTPとHTTPSの両方のURLにマウントして(または何らかの方法で利用できるようにして)、それに応じてロードしてください。そうしないと、ユーザーを不必要なリスクにさらすことになります。

*完全に有効なSSL証明書がある場合のみ。

于 2012-06-25T14:45:04.777 に答える