2

Могу ли я создать исключения в основных браузерах Windows (IE, Firefox, Chrome, Safari) для предупреждений о небезопасном содержимом, которые вы получаете при смешивании https и http на одной странице?

У нас есть сайт, на котором должен работать https ... он позволяет студентам оплачивать счета в Интернете, записываться на занятия, просматривать их оценки, жилье, финансовую помощь и т.д., А также позволяет преподавателям просматривать соответствующую информацию о студентах (защищенную FERPA). Содержимое сайта должно быть почти никогда не видно по незашифрованному http ванили.

Одной из особенностей этого сайта является то, что это также портал. Студенты могут общаться, публиковать сообщения на досках объявлений (для продажи, дома и т.д.) И - с помощью iframes - настраивать "гаджеты". Есть несколько встроенных гаджетов по умолчанию, таких как счетчик использования печати, Facebook (для поощрения использования портала), поиск по каталогу библиотечных карточек и другие, и учащиеся могут настроить свои выигрыши - и некоторые из них не поддерживают https в все. Мы знаем, что студенты на самом деле регулярно используют этот сайт, и он загружается в качестве домашней страницы в наших компьютерных лабораториях.

К сожалению, это приводит к неприятным предупреждениям о смешивании безопасного и небезопасного контента. Я знаю, что это за предупреждения, почему они есть и почему они важны (уязвимости XSS потенциально могут позволить мошенническому javascript в гаджете загружать информацию об ученике на удаленный сервер). Тем не менее, я также контролирую развертывание этих сайтов, поэтому для моих собственных управляемых компьютеров я могу знать, что этот контент в порядке.

Это подводит меня к моему вопросу. По крайней мере, для наших компьютеров, принадлежащих колледжу, я хотел бы отключить предупреждения в IE, Firefox, Safari и Chrome только для этого конкретного небезопасного контента и только на тех конкретных страницах, где мы его включили. Я определенно не хочу отключать эти блоки и предупреждения вообще. Я говорю только о конкретном содержании, о котором идет речь, некоторые из которых основаны на программном обеспечении производителя, которое я не могу просто настроить на использование https. Это возможно?

|источник

2 ответа2

3

По крайней мере, для наших компьютеров, принадлежащих колледжу, я хотел бы отключить предупреждения в IE, Firefox, Safari и Chrome только для этого конкретного небезопасного контента и только на тех конкретных страницах, где мы его включили. Это возможно?

Насколько я знаю, в Firefox или Chrome нет способа сделать это.

Вы можете разрешить небезопасный контент с определенных веб-сайтов в Internet Explorer, но вы не можете ограничить это исключение конкретными страницами, на которых оно было включено.

Вот как:

  1. Откройте Свойства обозревателя (Alt, T, O) и перейдите на вкладку Безопасность.

  2. Выберите Надежные сайты.

  3. Нажмите Пользовательский уровень ....

  4. В разделе «Разное» найдите « Показать смешанное содержимое» и выберите « Включить».

  5. Нажмите OK дважды, затем Сайты.

  6. Снимите флажок ** Требовать подтверждение сервера (https:) для всех сайтов в этой зоне.

  7. Добавьте веб-сайты, предоставляющие небезопасный контент, в зону.

    Например, https://xkcd.com требуется файл CSS от http://imgs.xkcd.com , поэтому вы должны добавить http://imgs.xkcd.com в зону доверенных сайтов.

  8. Нажмите Закрыть , затем ОК или Применить.

При этом, я думаю, что вы атакуете эту проблему неправильно. Основные браузеры становятся все более педантичными по поводу смешанного контента, и эта тенденция вряд ли изменится. Даже если бы вы могли отключить предупреждения для компьютеров, принадлежащих колледжу, это не решило бы проблему на любом другом компьютере. В то время как у некоторых пользователей эти предупреждения могут быть полностью отключены (красный и перечеркнутый https: для меня достаточно предупреждения), всем остальным грозит ужасная навигация.

Единственный способ действительно решить эту проблему - изменить дизайн сайта:

HTTP-где-возможно

Переключите весь веб-сайт на HTTP и зарезервируйте HTTPS для контента, который действительно нужен.

Например, вам не нужно общаться, пока вы оплачиваете счет. Раздел биллинга может обойтись без лишних гаджетов.

Другая конфиденциальная информация может отображаться во встроенных кадрах или вытягиваться / проталкиваться с помощью AJAX. Последний вариант, конечно же, будет по-прежнему отображать неприятные предупреждения пользователям с отключенным JavaScript, но я полагаю, что большинство гаджетов в любом случае требуют его, поэтому их можно просто удалить в резервной версии.

HTTPS-где-возможно

Продолжайте использовать HTTPS для всего сайта и работайте с небезопасным контентом в каждом конкретном случае.

Вы упомянули, что некоторые из них работают во встроенных кадрах. Если основные URL-адреса встроенных фреймов используют HTTP, они не будут генерировать предупреждения смешанного содержимого, так как сценарии из встроенного фрейма не могут влиять на родительский фрейм.

Если осталось какое-то содержимое, которое нельзя ни ограничить встроенным фреймом, ни извлечь из него по HTTPS, единственным вариантом будет перенаправить его через ваши серверы, т. Е. Настроить скрипт, который загружает определенный небезопасный контент по запросу и перенаправляет его пользователю через HTTPS.

Подход кадров

Если ни один из перечисленных выше вариантов невозможен, вы можете поместить весь контент во встроенный фрейм или использовать навигацию AJAX.

Самый большой недостаток этого подхода может быть исправлен путем изменения URL-адреса, отображаемого в адресной строке с помощью JavaScript (window.history.pushState('Object', 'Title', URL);).

Хотя это все еще не идеально, это сделает сайт по крайней мере доступным для просмотра. Chrome отображает предупреждение о смешанном контенте только один раз для каждой вкладки. Firefox и Internet Explorer отображают его каждый раз, когда вы нажимаете на ссылку.

|источник
1

не могли бы вы открыть чат в другом (небезопасном) окне?

в противном случае вам, возможно, придется добавить исключения через политики - для IE этот файл Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]  
@=""  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superuser.com]  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superuser.com\www]  
"http"=dword:00000002

добавит www.superuser.com в надежные места

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .