Wie können Sie genau feststellen, welche unsicheren Elemente einen Browser vor gemischten sicheren und unsicheren Elementen warnen lassen?

70

In Firefox sehe ich meine Website und erhalte keine Warnungen vor unsicheren gemischten Inhalten.

Mit FireBug kann ich sehen, dass jede Anfrage ist https.

In Chrome httpswird das in der Adressleiste durchgestrichen.

Adressleiste von Chrome

Chrome Fehler

Ich habe die Quelle in Chrome angezeigt und dann diesen regulären Ausdruck ausgeführt, /http(?!s)/aber die einzigen gefundenen Dinge waren die hrefAttribute für einige externe Links sowie der Dokumenttyp und die http-equivMeta-Tags.

Die Verwendung der Ressourcenverfolgung von Chrome ergab, dass auch alle Anfragen gestellt wurden https.

Dies umfasst Google Analytics, jQuery aus Googles CDN und Facebook-ähnliche Skripte.

Gibt es ein bestimmtes Tool, mit dem ich Nicht- httpsAnfragen anzeigen kann, oder etwas, das ich weiter ausprobieren kann?

google-chrome https Alex
quelle
Die 48. Version von Chrome machte es ganz einfach
Salvador Dali
Ich weiß, dass dieser Beitrag alt ist, aber falls er jemandem hilft, gibt es eine Desktop-App, die Sie jetzt ausführen können, um Probleme mit gemischten Inhalten auf einer Website zu scannen und zu melden: ecommerce.co.uk/httpschecker
stilliard
@alex: Ich weiß, dass diese Frage jetzt ziemlich alt ist, aber angesichts der Vielzahl neuer (und möglicherweise besserer) Antworten wollte ich Sie nur anpingen, um sie durchzulesen - vielleicht gibt es eine bessere Antwort als meine, die es verdient der Annahme.
13.
@ Cᴏʀʏ werde ich einen Blick
alex

Antworten:

60

Ich habe festgestellt, dass ich in Chrome die Warnung "gemischter Inhalt" erhalte, auch wenn kein gemischter Inhalt vorhanden ist, wenn irgendwann während der Sitzung bereits gemischter Inhalt in der Domain aufgetreten ist.

(Auch hier erwähnt: Warum meldet Chrome eine sichere / nicht sichere Warnung, wenn keine anderen Browser dies nicht tun? )

Beschützer eins
quelle
6
Vielen Dank für die Veröffentlichung. Dies löste mein Problem tatsächlich, da ich wusste, dass der auf der Registerkarte basierende Chrome-Cache mir Stunden ersparte. Irgendwo auf meiner Website gab es gemischte Inhalte, die den Fehler für alle Seiten auslösten, auf denen https ausgeführt wird ... auch wenn keine http-Anforderungen vorhanden waren.
Ian
2
Das ist wirklich nervig. Hatte dieses Problem gerade selbst und sicher genug, als ich einen neuen Tab öffnete und dieselbe URL einfügte, bekam ich ein grünes https- und Schlosssymbol. Weiß jemand, warum Chrom das so macht?
Peter G
Vielen Dank, immer noch ein Problem in Chrome 3 Jahre später! Durch einen Neustart von Chrome wurde es sortiert.
Paul Phillips
Noch ein Dankeschön von mir! Durchforsten Sie meinen Code und ersetzen Sie alle relativen und absoluten URLs ohne Erfolg durch https-Versionen. Kopieren / Einfügen der URL in einen neuen Tab, sortiert. Danke Google! : - \
Doug
37

In den Entwicklertools von Chrome werden auf der Registerkarte "Konsole" die Ressourcen angezeigt, die nicht geladen werden, weil sie unsicher sind.

Nathan Markey
quelle
3
Dies sollte die akzeptierte Antwort sein, die in den Browser integriert ist.
Josh Ribakoff
Ja, das ist die beste / einfachste Antwort. Fiddler et al. Sind nicht so nützlich, weil Sie eine Vielzahl von Anfragen durchsehen müssen.
Hesekiel Victor
Dies ist der beste Weg, da nicht nur Ressourcen das Problem verursachen. Ich stellte fest, dass ein Newsletter-Formular, das auf eine unsichere Seite abzielte, auch dazu führte, dass mein grüner Balken beschädigt wurde. Ich war verwirrt, weil auf der Registerkarte Netzwerk alle https angezeigt wurden. Die Registerkarte "Konsole" gab mir jedoch die Antwort.
Buttle Butkus
19

Sie können die Spalte "Schema" zur Registerkarte "Netzwerk" der Chrome-Entwicklertools hinzufügen, um anzuzeigen, welche Anforderungen über http oder https gesendet wurden:

  1. Drücken Sie F12, um die Entwicklertools anzuzeigen
  2. Wechseln Sie zur Registerkarte Netzwerk
  3. Klicken Sie mit der rechten Maustaste in die Spaltenüberschriften und wählen Sie "Schema".
  4. Laden Sie die Seite neu, um anzuzeigen, welche Elemente über http oder https geladen werden

Chrome-Entwicklertools, Schemaspalte

Rob Bell
quelle
6

In solchen Situationen, in denen es hilfreich ist, genau zu sehen, welches Protokoll zum Laden von Ressourcen verwendet wird, würde ich Fiddler2 als browserunabhängige Lösung empfehlen , die Ihnen genau zeigen kann, welcher Datenverkehr bei jeder Anforderung auftritt.

Von der Website:

Fiddler ist ein Web-Debugging-Proxy, der den gesamten HTTP (S) -Verkehr zwischen Ihrem Computer und dem Internet protokolliert. Mit Fiddler können Sie den gesamten HTTP (S) -Verkehr überprüfen, Haltepunkte festlegen und mit eingehenden oder ausgehenden Daten "fummeln". Fiddler enthält ein leistungsstarkes ereignisbasiertes Skriptsubsystem und kann mit jeder .NET-Sprache erweitert werden.

Bearbeiten : Debugging-Tools im Browser werden immer besser, sodass dieses Tool von Drittanbietern möglicherweise nicht mehr so ​​nützlich ist wie zu dem Zeitpunkt, als diese Antwort zum ersten Mal geschrieben wurde.

Cᴏʀᴏʀ
quelle
5

Öffnen Sie den Web Inspector und suchen Sie das gelbe Dreieck (Warnung) oben rechts. Klicken Sie darauf und es werden alle Sicherheitsprobleme angezeigt.

Ramin Tohidi
quelle
Dies sollte die akzeptierte Antwort sein. Warum Tools von Drittanbietern herunterladen / verwenden, wenn Sie die unsicheren Ressourcen in Chrome anzeigen können?
Andy
Dies zeigt nicht wirklich die Sicherheitsprobleme an, zumindest nicht für mich in der heutigen Version von Chrome. Ich scheine mich an solche Dinge zu erinnern, die als Warnungen in der Konsole erscheinen, aber das ist nicht mehr der Fall, zumindest nicht für meine seltsame Situation.
Brad
5

In der 48. Chromversion wurde ein Sicherheitspaneel hinzugefügt . Mit ihm können Sie die gemischten Inhaltsressourcen schnell identifizieren:

Geben Sie hier die Bildbeschreibung ein

Salvador Dali
quelle
3

Haben Sie das HttpFox-Plugin für FireFox? Das würde funktionieren, denke ich. Unter anderem werden URL, Methode, Ergebniscode und Bytes aller von einer Webseite angeforderten Assets gemeldet. Es ist das, was ich verwendet habe, um gelegentlich Nicht-HTTPS-Grafiken usw. abzufangen. Ich bin sicher, dass die anderen vorgeschlagenen Tools dasselbe tun würden ...

LesterDove
quelle
Nein, aber ich werde es jetzt überprüfen. Vielen Dank.
Alex
Verdammt, konnte keine Nicht-HTTPS-Anfragen damit finden.
Alex
3

Sie können SslCheck verwenden

Es ist ein kostenloses Online-Tool, das eine Website rekursiv crawlt (unter Befolgung aller internen Links) und nach unsicheren Includes sucht - Bilder, Skripte und CSS.

(Haftungsausschluss: Ich bin einer der Entwickler)

Alex
quelle
1

Ich weiß, dass dieser Beitrag alt ist, aber ich bin darauf gestoßen und hatte das gleiche Problem. Ich habe auf das Chrome-Menü (obere rechte Ecke) geklickt, nach unten zu Extras> gescrollt und Entwicklertools ausgewählt. Klicken Sie auf die Registerkarte "Konsole" und erfahren Sie genau, wo das Problem liegt. Das Favicon wurde über http und nicht über https bereitgestellt, aber natürlich nicht im Quellcode der Seite. Das Problem in meinem CMS wurde behoben, das das Favicon ohne Code auf der Seite lädt ... und keinen Fehler mehr!

Tim
quelle
0

Beachten Sie, dass "gemischter Inhalt" und "gemischtes Scripting" getrennt erkannt werden. Überprüfen Sie diese Website auf die Bedeutung der Symbole in Chrome: https://support.google.com/chromebook/answer/95617?p=ui_security_indicator&rd=1 (klicken Sie auf den Link "Details anzeigen").

Graues Symbol = gemischter Inhalt, rotes Symbol = gemischtes Scripting.

Robert de W.
quelle