Неделю назад Google отправил мне письмо с просьбой перейти по HTTPS. Если я не перенесу HTTP на HTTPS, то он покажет, что мое соединение незащищено всем посетителям моего сайта, которые попытаются ввести текст на моем сайте.
Без использования SSL есть ли другой способ сделать мое соединение защищенным? Поскольку это связано с дорогостоящим процессом использования SSL в веб-URL, я ищу любой другой вариант.
security
google-chrome
forms
Хасан М. Нахин
источник
источник
http://
не все в порядке, что еще там кромеhttps://
? Есть лиabc://
,lgbtqiapk+://
илиdps://
?Ответы:
Google не просто жалуется на «безопасность» (которая может включать в себя ряд различных тем), он специально нацелен на шифрование / HTTPS. При использовании простого HTTP соединение между клиентом и сервером является незашифрованным, что позволяет любому потенциально видеть и перехватывать все, что отправлено. Обычно он запрашивает это только в том случае, если вы разрешаете пользователям входить в систему (т. Е. Отправляете имя пользователя / пароль) или отправляете платежную информацию по незашифрованному соединению. Общая «текстовая» форма представления не обязательно будет проблемой. Однако, как отметил @Kevin в комментариях, Google / Chrome планируют расширить это в будущем :
Установка сертификата SSL на ваш сайт (или использование внешнего прокси-сервера, такого как Cloudflare, для обработки SLL) - единственный способ зашифровать трафик на ваш сайт.
Однако в наши дни это не обязательно «дорогостоящий процесс». Cloudflare имеют «бесплатную» опцию, а Let's Encrypt - это бесплатный центр сертификации, который многие хосты поддерживают по умолчанию.
источник
Я не рекомендую, но вы можете обойти это сообщение, не используя оригинальные поля ввода текста. Вы можете создавать свои собственные поля ввода, используя регулярные,
div
которые имеютonkeypress
событие. Или вы можете создатьdiv
элемент сcontenteditable
атрибутом, установленным вtrue
.Таким образом, пользователи смогут вводить информацию на вашем сайте, не используя
input
теговые элементы.источник
XMLlHTTPRequest
(также известный как AJAX) для отправки информацииЕсли вы просто обслуживаете статические файлы или можете разместить прокси-сервер впереди, вы можете использовать сервер, такой как caddy, который обрабатывает все это за вас с помощью функции «Зашифровать», это избавляет от необходимости предоставления сертификатов, и вам не нужно установить любое другое программное обеспечение.
В качестве альтернативы вы можете воспользоваться услугой вроде cloudflare - их бесплатный тариф предлагает бесплатный https.
Наконец, некоторые хосты предлагают бесплатные сертификаты https, включая Dreamhost . Так что проверьте, если ваш текущий хост предлагает это в качестве опции.
Я не рекомендовал бы пытаться найти обходной путь, есть только один способ сделать ваш сайт безопасным, и браузеры в конечном итоге будут предупреждать о каждом сайте, который не имеет https, независимо от того, какой контент. Сеть движется к https везде.
источник
кажется, никто другой не упомянул,
если у вас есть каждая машина, которая подключается к вашему сайту
например, "это, вероятно, не то, что вы хотите"Подобно корпоративным настройкам, вы можете создать собственный центр сертификации, установить его общедоступный сертификат на все машины (включая все браузеры и хранилища сертификатов), которые подключаются к вашему сайту. эта опция свободна от сторонней монетизации; это тот же шифровальный шифр, хотя вы не вошли в общественное доверие (например, ваш авторитет не распознается Google Chrome, Mozilla Firefox и т. д., как это делает Let's Encrypts), но он будет распознаваться машинами, которым вы настроили доверять себе ,
по общему признанию, соглашения о создании центра сертификации довольно сложны, и обслуживание может быть очень трудоемким, поэтому я оставлю их здесь, и вам, вероятно, лучше провести глубокое исследование на тему, которая вас действительно интересует. в этом подходе.
хотя для развертывания Nieve, если вы можете попробовать XCA
XCS - это достойный способ выдачи сертификатов для крошечных развертываний, включающий справочную документацию, которая проходит через всю настройку.
источник
У меня есть пара идей.
Если причиной HTTPS является управление входами в систему, вы можете минимизировать эффект во всех браузерах, предлагая пользователям оставаться в системе. Затем, когда пользователь входит в систему, cookie-файл может постоянно храниться на компьютере пользователя, поэтому в следующий раз пользователь Включив свой компьютер для доступа к сайту, он будет автоматически входить в систему, а не всегда получать приглашение на вход в систему и, возможно, предупреждение системы безопасности.
Другая идея, которая может обойти сообщение, но которая будет больше работать как на госте, так и на сервере, заключается в том, чтобы гость загружал специальный файл с зашифрованной правильной конфигурацией. Например, для экрана входа в систему вместо того, чтобы просить пользователя ввести свое имя пользователя и пароль в двух текстовых полях, попросите пользователя загрузить небольшой файл, в котором зашифрованы его имя пользователя и пароль (например, сжатие имени пользователя и пароля в виде почтового индекса). файл с определенным уровнем сжатия), то сервер может расшифровать файл, чтобы извлечь имя пользователя и пароль. Потенциальный хакер увидит бред в пути, когда пользователь отправит файл на сервер. Единственным небольшим преимуществом этой идеи является немного более высокая скорость соединения, поскольку обработка SSL-соединения не происходит в HTTP.
источник
Нет.
Любой взлом, который вы пытаетесь (например, пытаться зашифровать с помощью javascript), очень маловероятен, чтобы быть даже безопасным.
SSL не должен быть «дорогим», многие хостинг-провайдеры предлагают его бесплатно. И даже такие вещи, как cloudflare предлагают бесплатный SSL и поддерживают текущий хостинг.
источник
Бесплатное, быстрое решение - Let's Encrypt. Ссылка У них есть документация почти для каждой серверной ОС. Мы используем его на своей работе, и наши поставщики W2P используют его для защиты каждого из наших витрин.
источник