web-dev-qa-db-ja.com

「安全でない」とはHTTPを意味しますか?

私は企業で働いており、URLが次の画像のようになっている、ある種の従業員ログインシステムが提供されています。 (申し訳ありませんが、完全なURLを開示することはできません。)

Not Secure

「安全ではない」はSSL証明書などに関係していると思いましたが、「サイト情報を表示」をクリックすると、次のようになります。

enter image description here

私は手動でFlashをブロックしましたが、Cookieで何ができるのかわからず、できれば企業のWebサイトでリスクを負うことができませんでした。

いくつか質問があります。

  1. 「安全ではない」とはどういう意味ですか?それは「HTTPのみ」のWebサイトであることを意味しますか?

  2. サイトが「安全でない」と考えられる理由は何ですか?

  3. 「安全でない」アカウントのログインサイトがあっても大丈夫ですか?

  4. クッキーは安全でないサイトと関係がありますか?

  5. このサイトをセキュリティで保護するために可能な方法は何ですか。また、安全を確保するために責任者にどのように通知できますか?

33
C0deDaedalus

安全でないとはどういう意味ですか? HTTPのみのウェブサイトを意味しますか?

Chrome=の「安全ではありません」は、サイトがHTTPSを使用していないことを意味します。

サイトが保護されていない理由として考えられるものは何ですか?

上記の正確なエラーを取得するには、サイトがHTTPSを使用していないときだけです。ただし、サイトの証明書が無効である場合、またはページ全体にHTTPSがない場合は、同様の安全でないエラーが発生する可能性があります。

安全ではないアカウントログインサイトを用意してもよろしいですか?

いいえ、これは問題ありません。誰かがログインリクエストを傍受できた場合、ユーザーのログイン認証情報を見ることができます。 IBBoard はコメントで優れた点を示しています。社内の企業ネットワーク上にあるHTTPSなしのログインサイトは、自宅のPCからアクセスできるパブリックサイトほど危険ではありません。それはまだ安全ではありませんが、接続を本当にMiTMにできるのは会社のシステム管理者だけです( ネットワークが正しく設定されていると仮定 )。

Cookieは、サイトが安全でないと見なして何かする必要がありますか?

サイトがHTTPSを使用していない場合、Cookieは平文で送信されます。これにより、Cookieにトークンなどの機密データが含まれている場合に問題が発生し、セッションの乗っ取りにつながる可能性があります。

このサイトをセキュリティで保護する方法にはどのようなものがありますか。また、責任のあるサイトに通知してセキュリティを確保するにはどうすればよいですか。

有効な証明書でHTTPSを使用することにより、Chromeはサイトを「セキュア」としてマークします。ただし、 Ed で述べられているように、有効な証明書を持つWebサイトでもがHTTP画像などの非セキュアコンテンツも提供している場合は、非セキュアです。混合コンテンツ(HTTPSページにHTTPアイテムがある場合)は、非セキュアと見なされます。このログインサイトのセキュリティについて懸念がある場合は、懸念を表明しますIT部門に連絡し、彼らがそれに対して何ができるかを確認してください。

50
Joe

安全ではないということはHTTP

はい、現時点では、httpを使用しているサイトが安全でないと表示されるルールについて、利用可能なルールがあります here

このサイトが安全でないと表示される理由

2つの主なオプションがあります。

  • パスワード入力があります
  • クレジットカード入力があります
6
jrtapsell

正確には、「安全でない」とはサーバーへの接続を指し、必ずしもサーバー自体を指すわけではありません。サーバーがhttpおよびhttps接続を提供している可能性があります。理想的には、httpアクセスをhttpsにリダイレクトします。そうでない場合は、URLでhttps:プロトコルを明示的に指定する必要があります。この場合は、sysAdmに問い合わせてください。

4
Renardo