Comment diffuser du contenu statique sans https dans un site sécurisé?

8

Je souhaite diffuser du contenu statique à partir de mon site, mais mon site est uniquement https. Mon serveur http statique ne sert que du contenu http (non https) mais de nombreux utilisateurs d'IE se plaignent de ne pas pouvoir se connecter.

Qu'est-ce que je dois faire? Dois-je ajouter https à mon serveur http à contenu statique?

https internet-explorer licorna
la source

Réponses:

13

Internet Explorer et je pense que certains autres navigateurs avertiront un utilisateur lorsque les actifs d'un site utilisant le httpsprotocole sont servis http. La première meilleure solution consiste à permettre à votre serveur d'actifs statique de diffuser du contenu sécurisé et de faire en sorte que votre site utilise un protocole cohérent. La deuxième meilleure solution va être de créer une page sur votre site sécurisé qui est un proxy, fondamentalement, vous devez créer une page dynamique qui appelle la page ou l'actif externe et la renvoie via ce proxy. L'écriture de cette page dépend du langage de programmation dynamique à votre disposition sur le serveur sécurisé.

Fondamentalement, IE a un problème de sécurité légitime avec les protocoles de mixage. Il sait qu'il peut faire confiance au httpsserveur, mais ne fait pas confiance à celui- httpci.

artlung
la source
1
D'autres navigateurs se dégradent de façon moins bruyante pour les contenus mixtes, modifiant souvent le comportement de l'icône «cadenas» auquel seule la moitié de la population Internet fait attention. Je suis d'accord que IE fait «la bonne chose (TM)» en lançant un avertissement évident. C'est exact, certains éléments ont été envoyés en toute sécurité, d'autres non.
Tim Post
Plus tôt il y aura un support natif pour bloquer les cookies sur HTTP lors de l'utilisation de HTTPS, plus tôt ce message pourra disparaître et cesser de causer des problèmes. Ce n'est pas comme les en-têtes HTTP supplémentaires sont même recherchés pour le contenu statique qui est servi loin de la page HTTPS.
Metalshark
2
@Metalshark: c'est bien plus que des cookies. Lorsque vous regardez une page HTTPS, vous voulez pouvoir faire confiance à tout ce qu'elle dit. Quelqu'un pourrait forger une image et remplacer ce qu'elle montre / dit, par exemple. Vous souhaitez également créer un lien vers des scripts fiables et non modifiés.
Bruno
0

Je pense que vous devez clarifier votre pensée car votre question n'a pas vraiment de sens.

Statique et sécurisé ne sont pas mutuellement exclusifs ni même liés les uns aux autres. Vous pouvez avoir du contenu statique sécurisé et du contenu non statique non sécurisé. Sécurisé signifie simplement qu'il est crypté (SSL, c'est-à-dire https). Statique signifie qu'il n'est pas généré par demande pour le client. Ce sont deux concepts fondamentalement différents.

Si vous ne mélangez pas votre terminologie, je demanderais pourquoi votre serveur sécurisé ne peut pas servir de contenu statique. Je suppose que c'est le cas, il vous suffit donc de mettre votre contenu statique sur le serveur sécurisé, puis un navigateur ne se plaindra pas du contenu mixte http / https car ce sera tout https. S'il y a vraiment une limitation technique sur le serveur sécurisé qui l'empêche de servir du contenu statique (par exemple, il ne peut même pas servir un fichier CSS), alors oui, vous devriez envisager d'ajouter SSL à l'autre serveur que vous utilisez.

SW
la source