Il y a une semaine, Google m'a envoyé un e-mail pour passer en HTTPS. Si je ne transfère pas HTTP vers HTTPS, cela montrera ma connexion non sécurisée à tous les visiteurs de mon site qui tenteront de saisir du texte dans mon site.
Sans SSL, existe-t-il un autre moyen de sécuriser ma connexion? Comme il est lié à un processus coûteux d'utiliser SSL dans une URL Web, je recherche plutôt une autre option.
security
google-chrome
forms
Hasan M. Naheen
la source
la source
http://
ne va pas, quoi d'autre est làhttps://
? Y at - il unabc://
,lgbtqiapk+://
oudps://
?Réponses:
Google ne se plaint pas seulement de la "sécurité" (qui pourrait inclure un certain nombre de sujets différents), il cible spécifiquement le cryptage / HTTPS. Avec HTTP simple, la connexion entre le client et le serveur n'est pas chiffrée, ce qui permet à quiconque de potentiellement voir et intercepter tout ce qui est soumis. Normalement, cela ne vous demandera que si vous autorisez les utilisateurs à se connecter (c'est-à-dire en soumettant un nom d'utilisateur / mot de passe) ou en soumettant des informations de paiement via une connexion non cryptée. Les soumissions générales de formulaires "textuels" ne seraient pas nécessairement un problème. Cependant, comme @Kevin l'a souligné dans les commentaires, Google / Chrome prévoit de l'étendre à l'avenir :
L'installation d'un certificat SSL sur votre site (ou l'utilisation d'un proxy frontal comme Cloudflare pour gérer la SLL) est le seul moyen de crypter le trafic vers votre site.
Cependant, ce n'est pas nécessairement un "processus coûteux" de nos jours. Cloudflare a une option "gratuite" et Let's Encrypt est une autorité de certification gratuite que de nombreux hôtes prennent en charge par défaut.
la source
Je ne recommande pas, mais vous pouvez contourner ce message, en n'utilisant pas les champs de texte d'entrée d'origine. Vous pouvez créer vos propres champs d'entrée, à l' aide régulière
div
qui ontonkeypress
événement. Ou vous pouvez créer undiv
élément dont l'contenteditable
attribut est défini surtrue
.De cette façon, les utilisateurs pourront entrer des informations sur votre site, sans utiliser
input
d'éléments de balise.la source
XMLlHTTPRequest
(aka AJAX) pour envoyer les informationsSi vous ne faites que servir des fichiers statiques ou pouvez mettre un proxy en avant, vous pouvez utiliser un serveur tel que caddy server qui gère tout cela pour vous en utilisant permet de chiffrer, cela simplifie le provisionnement des certificats et vous n'avez pas à installer tout autre logiciel.
Alternativement, vous pouvez utiliser un service comme cloudflare - leur plan gratuit propose https gratuit.
Enfin, certains hôtes proposent maintenant des certificats https gratuits, y compris dreamhost . Vérifiez donc si votre hôte actuel propose cette option.
Je ne recommanderais pas d'essayer de trouver une solution de contournement, il n'y a qu'une seule façon de sécuriser votre site, et les navigateurs finiront par avertir sur chaque site qui n'a pas https, quel que soit le contenu. Le Web évolue vers https partout.
la source
personne d'autre ne semble avoir mentionné,
si vous possédez toutes les machines qui se connectent à votre site
par exemple "ce n'est probablement pas ce que vous voulez", comme dans un environnement d'entreprise, vous pouvez créer votre propre autorité de certification, installer son certificat public sur toutes les machines (bien sur tous les navigateurs et magasins de certificats) qui se connectent à votre site. cette option est exempte de monétisation par des tiers; c'est le même chiffrement de chiffrement, vous n'êtes pas connecté à la confiance du public (par exemple, votre autorité n'est pas reconnue par Google Chrome, Firefox de Mozilla, etc., comme le fait Let's Encrypts), mais elle sera reconnue par les machines que vous avez configurées pour vous faire confiance .
Certes, les accords sur la mise en place d'une autorité de certification sont délicats quelque peu obscurs et la maintenance peut être beaucoup de travail - alors je vais les laisser ici, vous feriez probablement mieux de faire une recherche approfondie sur le sujet qui vous intéresse vraiment dans cette approche.
mais pour un déploiement nieve, si vous pouvez essayer XCA
XCS est un moyen décent d'émettre des certificats pour les petits déploiements et comprend une documentation d'aide qui parcourt l'ensemble de la configuration.
la source
J'ai quelques idées.
Si la raison de HTTPS est de gérer les connexions, vous pouvez minimiser l'effet sur tous les navigateurs en offrant aux utilisateurs de rester connectés. Ensuite, lorsqu'un utilisateur se connecte, un cookie peut être stocké en permanence sur l'ordinateur de l'utilisateur, donc la prochaine fois que l'utilisateur allume son ordinateur pour accéder au site, il serait automatiquement connecté au lieu de toujours recevoir une invite de connexion et éventuellement un avertissement de sécurité.
Une autre idée qui peut contourner le message mais qui nécessiterait plus de travail à la fois sur l'invité et sur le serveur est de demander à un invité de télécharger un fichier spécial avec la configuration appropriée chiffrée. Par exemple, pour l'écran de connexion, au lieu de demander à l'utilisateur d'entrer son nom d'utilisateur et son mot de passe dans deux zones de texte, demandez à l'utilisateur de télécharger un petit fichier contenant son nom d'utilisateur et son mot de passe cryptés (par exemple, en compressant le nom d'utilisateur et le mot de passe sous forme de zip fichier avec un niveau de compression spécifique), le serveur peut décrypter le fichier pour extraire le nom d'utilisateur et le mot de passe. Le pirate potentiel verra du charabia en transit lorsque l'utilisateur envoie le fichier au serveur. Seul léger avantage à cette idée est une vitesse de connexion légèrement plus rapide car le traitement de la connexion SSL n'a pas lieu en HTTP.
la source
Non.
Tout piratage que vous essayez (par exemple, comme essayer de crypter avec javascript), est très peu susceptible d'être même proche de la sécurité.
SSL n'a pas à être «cher», de nombreux hébergeurs le proposent gratuitement. Et même des choses comme cloudflare offrent SSL gratuit et gardent l'hébergement actuel.
la source
Let's Encrypt est une solution rapide et gratuite. Lien Ils ont de la documentation pour presque tous les OS de serveur. Nous l'utilisons dans notre travail et nos fournisseurs W2P l'utilisent pour sécuriser chacune de nos vitrines.
la source