0

私の Web サイトには、緑色の SSL 証明書が灰色に表示される画像リンクがいくつかあります。

エラーは

このコンテンツは、HTTPS 経由でも提供する必要があります。2jquery.min.js:5 混合コンテンツ: ' https://mywebsite.com/ ' のページは HTTPS 経由で読み込まれましたが、安全でない画像 ' http://www.otherwebsite.net/wp-content/uploads/を要求しました2015/10/ALPHA.FOUNDER.png '. このコンテンツは、HTTPS 経由でも提供する必要があります。

ここにいくつかの問題があります:

  • 画像リンクはHTTPです
  • 画像ソースは、SSL 証明書の有効期限が切れている他の Web サイトから読み込まれています

しかし、結局のところ、ユーザーは HTTP と HTTPS の両方の画像を読み込むことができます

このグレーのロックをオーバーライドして緑にする方法はありますか?

4

2 に答える 2

1

基本的に、いくつかの深刻なハックなしにこれを回避する方法はありません。

HTTPS はサイトが安全であることを示し、ユーザーにはそれを確認するための素敵な緑色の南京錠が表示されます。

訪問者は、訪問している Web サイトが URL のものであり、表示されているコンテンツが Web サイトの所有者が提供したコンテンツであり、いかなる方法でも変更されていないことを知っています。また、閲覧している内容が秘密にされていることも知っています。ほとんどのユーザーがこれをこのレベルの深さまで実際に理解しているかどうかは、問題ではありません。https は安全であることを意味します。

ページの一部が http 経由で読み込まれる場合、それはもはや当てはまらないため、緑色の南京錠は表示されません。

現在、さまざまな種類の混合コンテンツがあります。

画像は、パッシブ混合コンテンツと呼ばれるものです。http経由で配信されるため、暗号化されていないため、訪問者が知らないうちに別の画像に置き換えることができます. さらに、ユーザーが特定の画像を盗聴者が見ることができるように要求したという事実は、盗聴者がプライベートでブラウジングしていないことを意味します。これは、画像が何であるかに応じて、それほど悪い場合とそうでない場合があります。たとえば、画像は極秘プロジェクトを構築するための回路図である可能性があり、それを別のものに置き換えると、そのプロジェクトが危険にさらされる可能性があります。また、この極秘プロジェクトの構築を考えていることを他の人に知らせることもできます。

したがって、受動的な混合コンテンツは悪い可能性がありますが、能動的な混合コンテンツはさらに悪い可能性があります。たとえば、JavaScript リクエストが妨害される可能性があるため、ページ全体を変更したり、パスワードをログに記録したり、その他の何百万もの悪いことを記録したりするために使用される可能性があります。

ただし、一部の混合コンテンツを許可する道を歩み始めると、ユーザーに複雑なメッセージと混乱を招くメッセージを求めているだけです。それらを区別せずに、緑の南京錠が必要な場合は、混合コンテンツはありません. ブラウザは、以前はアクティブな混合コンテンツのみを強制していましたが、これを厳密に強制し始めています。私の意見では、これは良いことです。

それで、あなたはあなたの問題について何ができますか?

他のサイトにリンクする代わりに、自分のサイトで画像をホストできます。他のサイトは帯域幅を使用して画像を提供することを評価しない可能性があり、画像が変更されても制御できないため、これは良いことです. Huffington Post がこの種のホット リンクをめぐって 1 人のアーティストを動揺させたとき、この種のことがどのように判明したかをご覧ください。

または、http からリソースを取得し、https 経由でサイトに配信するプロキシを使用して、複雑なルートを実行することもできます。しかし、チートだと言う人もいます (盗聴者によってコンテンツが変更される上記のシナリオをもう一度想像してください)。また、より簡単なオプションがある場合 (主に https で http リソースを使用しないでください)ページ)。

サイトにコンテンツ セキュリティ ポリシーを実装して、安全でない http リクエストを https にアップグレードすることもできます。ただし、これは最新のブラウザーでのみサポートされており、この特定の例では役に立ちません (他のサイトの https が壊れているため、画像が読み込まれないため)。 https と http の両方で利用可能で、間違ったリンクが配置されています。しかし、ちょっとしたファッジ。

または、http のみのサイトからのリソースの使用を停止します。特に、期限切れの https 証明書を持つもの。とにかく危険なサイトのように聞こえます。

于 2015-11-22T21:41:08.670 に答える