web-dev-qa-db-ja.com

Chromeでテキスト入力の警告を回避するためにWebサイトを保護するためのHTTPS以外のオプションはありますか?

1週間前、GoogleからHTTPSを使用するためのメールが送られてきました。 HTTPをHTTPSに転送しない場合、サイトにテキストを入力しようとするすべてのサイト訪問者に対して、接続が保護されていないことが表示されます。

SSLを使用せずに、接続を保護する他の方法はありますか? Web URLでSSLを使用する費用のかかるプロセスに関連しているため、代わりに他のオプションを検索しています。

16
Hasan M. Naheen

接続を保護する他の方法はありますか?

Googleは「セキュリティ」(多くのさまざまなトピックを含む可能性がある)について不平を言っているだけでなく、具体的にencryption/ HTTPSを対象としています。プレーンHTTPを使用すると、クライアントとサーバー間の接続は暗号化されず、送信されたものをだれでも潜在的に表示および傍受できるようになります。通常、ユーザーにログインを許可する(ユーザー名/パスワードを送信する)か、暗号化されていない接続を介して支払い情報を送信する場合にのみ、これでプロンプトが表示されます。一般的な「テキスト」フォームの送信は必ずしも問題ではありません。ただし、@ Kevinがコメントで指摘したように、 Google/Chromeは今後これを拡張する予定です

最終的に、すべてのHTTPページを非セキュアとしてラベル付けし、HTTPセキュリティインジケーターを、破損したHTTPSに使用する赤い三角形に変更する予定です。

サイトへのSSL証明書のインストール(またはCloudflareなどのフロントエンドプロキシを使用したSLLの処理)は、onlyへのトラフィックを暗号化する方法です。サイト。

ただし、これは必ずしも最近の「コストのかかるプロセス」ではありません。 Cloudflareには「無料」オプションがあり、 Let's Encrypt は、多くのホストがデフォルトでサポートする無料の認証局です。

41
DocRoot

推奨しませんが、元の入力テキストフィールドを使用しないことで、このメッセージをバイパスできます。 divイベントを持つ通常のonkeypressを使用して、独自の入力フィールドを作成できます。または、div属性をcontenteditableに設定したtrue要素を作成できます。

これにより、ユーザーはinputタグ要素を使用せずに、サイト上の情報を入力できます。

静的ファイルを提供しているだけの場合、またはプロキシを前面に配置できる場合は、 caddy server などのサーバーを使用できます。これは、lets encryptを使用してこれらすべてを処理します。他のソフトウェアをインストールする必要はありません。

あるいは、 cloudflare のようなサービスを使用することもできます-彼らの無料プランは無料のhttpsを提供します。

最後に、 dreamhost など、一部のホストは無料のhttps証明書を提供しています。したがって、現在のホストがオプションとしてこれを提供しているかどうかを確認してください。

回避策を見つけることはお勧めしません。サイトをセキュリティで保護する方法は1つしかありません。ブラウザは、コンテンツに関係なく、最終的にhttpsを持たないすべてのサイトで警告します。 Webはどこでもhttpsに向かっています。

4
Kenny Grant

誰も言及していないようです

サイトに接続するすべてのマシンを所有している場合

企業設定のように、独自の認証局を作成し、その公開証明書をサイトに接続するすべてのマシン(すべてのブラウザーおよび証明書ストアにインストール)にインストールできます。このオプションには、サードパーティの収益化はありません。これは同じ暗号化暗号であり、パブリックトラストにサインインすることはありません(たとえば、あなたの権限はGoogleのChrome、MozillaのFirefoxなど、Let's Encryptsのように認識されません)が、自分を信頼するように設定したマシンによって認識されます。

確かに、認証局の設定をオフにすることはやや曖昧であり、メンテナンスには多くの作業が必要になる可能性があります。したがって、ここではそれらを省略します。このアプローチで。

ただし、nieve展開の場合、XCAを試すことができれば

XCSは、小規模な展開に対して証明書を発行する適切な方法であり、セットアップ全体を説明するヘルプドキュメントが含まれています。

4
ThorSummoner

いくつかのアイデアがあります。

HTTPSの理由がログインの管理である場合、ユーザーにログイン状態を維持することにより、すべてのブラウザーでの影響を最小限に抑えることができます。ユーザーがログインすると、Cookieはユーザーのコンピューターに永続的に保存され、サイトにアクセスするためにコンピュータの電源を入れると、ログインプロンプトとセキュリティ警告が常に表示されるのではなく、自動的にログインされます。

メッセージをバイパスすることはできますが、ゲストとサーバーの両方でより多くの作業が行われる別のアイデアは、ゲストに適切な構成が暗号化された特別なファイルをアップロードさせることです。たとえば、ログイン画面では、ユーザーに2つのテキストボックスにユーザー名とパスワードを入力するよう求めるのではなく、ユーザー名とパスワードを暗号化した小さなファイルをユーザーにアップロードさせます(たとえば、ユーザー名とパスワードをZipとして圧縮する特定の圧縮レベルのファイル)、サーバーはファイルを復号化してユーザー名とパスワードを抽出できます。潜在的なハッカーは、ユーザーがサーバーにファイルを送信すると、送信中に意味不明なメッセージを目にします。このアイデアのわずかな利点は、SSL接続処理がHTTPで行われないため、接続速度がわずかに速いことです。

1
Mike

いや.

ハック(javascriptで暗号化しようとするなど)を試みると、安全に近づくことはほとんどありません。

SSLは「高価」である必要はなく、多くのホスティングプロバイダーが無料で提供しています。また、cloudflareのようなものでも無料のSSLを提供し、現在のホスティングを維持します。

1