Chrome fügt allen Anfragen einen seltsamen HTTPS: 1-Header hinzu

19

Ich habe viele seltsame Fehler auf Websites erhalten, die sich auf HTTPS beziehen. Diese Sites funktionieren hervorragend in FF und IE, können jedoch nicht in Chrome geladen werden. Offenbar fügt Google Chrome HTTPS:1der Anfrage einen zusätzlichen Header hinzu, obwohl ich eine ungesicherte URL (http) anfordere.

Dies führt dazu, dass einige Server, wahrscheinlich einige, die Offload-SSL verwenden und ein gemeinsames Hosting bereitstellen, mit einem Fehler reagieren, da auf dem Server kein SSL vorhanden ist.

Ich werde nicht auf eine gesicherte Seite (HTTPS) umgeleitet, sondern alle internen URLs in der Quelle werden zu https bearbeitet.

Ich habe die Verbindung mit Fiddler überprüft. Diese Analyse wird auf meinem Computer nicht durchgeführt und der einzige Unterschied ist dieser HTTPS:1Header.

Ich habe eine einfache PHP-Seite erstellt, die die $_SERVERVariable druckt . Wenn ich es mit Chrom zugreifen kann ich sehen: [HTTP_HTTPS] => 1. Ich kann es mit FireFox nicht sehen.

Ich habe versucht, alle Daten zu löschen, Chrome von meinem Google-Konto zu entfernen und Chrome von Grund auf zu entfernen und zu installieren.

Hat jemand eine Ahnung davon? Es macht mich verrückt.

google-chrome browser ssl https https-everywhere TwoDiv
quelle
Ich hatte das gleiche Problem auf Chrome Canary, aber nur auf einer bestimmten Site, auf der ich mit http-> https-Weiterleitungen herumgespielt habe. Ich denke, es hat etwas mit dem 301-Redirect-Cache zu tun. Chrome hat mich nach dem Löschen des gesamten Browser-Cache nicht zu https weitergeleitet. Das Problem mit dem https-Header wird jedoch nicht behoben. Ich habe es "gelöst", indem ich canary nicht mehr für die bestimmte Site verwendet habe. Heute begann die gleiche Ausgabe erneut für den Chromstall, ABER NICHT mehr für Kanarienvögel. Ich denke der Cache auf Canary ist abgelaufen. Ich habe es einige Zeit nicht getestet. Sieht für mich völlig zufällig aus. Entschuldigen Sie, dass Sie keine Antwort erhalten haben. Aber da ich
Azeruel
Ja, ich sehe das auch, beginnend gestern. Mach mich auch verrückt.
Kirby
Chrome ist sehr, sehr aggressiv, wenn es um Sicherheit geht. Google tut dies wahrscheinlich aus geschäftlichen Gründen: Wenn es Benutzerdaten nicht gegen staatliche Akteure absichern kann, verlieren Benutzer sehr schnell das Vertrauen in Google. Aus diesem Grund betrachtet Google es als oberste Priorität, sich als Marktführer im Bereich Datenschutz im Internet zu etablieren, obwohl sein werbebasiertes Geschäftsmodell in erster Linie auf der Verfolgung des Nutzerverhaltens beruht. Die Nutzer vertrauen darauf, dass Google ein sicherer Verwalter ihrer persönlichen Daten ist und keine Daten an unbefugte Dritte weitergibt. Daher können sie es sich nicht leisten, weniger zu tun.
bwDraco - Wiedereinsetzung von Monica

Antworten:

15

Wahrscheinlich wird auf den Websites, mit denen Sie Probleme haben, Servercode ausgeführt, der den HTTPS: 1Anforderungsheader falsch interpretiert . Beispielsweise enthält das Wordpress WooCommerce-Plugin, das auf ungefähr 900.000 Websites ausgeführt wird, fehlerhaften Code, der den HTTPS: 1Header falsch verarbeitet . Das neueste Patch-Dokument finden Sie hier: https://woocommerce.wordpress.com/2015/07/07/woocommerce-2-3-13-security-and-maintenance-release/

Es gibt einen ähnlichen Beitrag auf StackOverflow: /programming/31565155/wordpress-woocommerce-forces-https-when-it-shouldnt/31570584#31570584

Weitere Informationen: Chrome hat die Upgrade Insecure Requests- Spezifikation des World Wide Web Consortium (W3C) implementiert . Abschnitt 3.2.1 der Spezifikation ist die upgrade-Unsichere-Requests HTTP - Request - Header - Feld , die besagt ,

3.2.1. Das HTTP-Anforderungsheaderfeld "Upgrade-Insecure-Requests"

Das HTTP-Anforderungsheaderfeld "Upgrade-Insecure-Requests" sendet ein Signal an den Server, das die Präferenz des Clients für eine verschlüsselte und authentifizierte Antwort ausdrückt und angibt, dass die Direktive "Upgrade-Insecure-Requests" erfolgreich verarbeitet werden kann, um diese Präferenz so nahtlos wie möglich zu gestalten bereitstellen.

Diese Präferenz wird von der folgenden ANBF vertreten:

"Upgrade-Insecure-Requests:" * WSP "1" * WSP

Websites wie die, auf denen das WooCommerce-Plugin in Wordpress ausgeführt wird, schreiben alle URLs in der Antwort fälschlicherweise als https:\\Links neu, wenn der HTTPS: 1Header in einer nicht sicheren Anforderung (http) festgelegt wurde.

Als Endbenutzer dieser Website können Sie nur mit einem anderen Browser als Chrome umgehen, bis diese Websites repariert sind

Kirby
quelle
Vielen Dank für die ausgearbeitete Antwort. Ich habe gesehen, dass dieser Code implementiert wurde. Da dieses Problem jedoch für meinen Computer spezifisch ist (ich habe es bei verschiedenen Computern im Büro überprüft), gehe ich davon aus, dass es eine Möglichkeit gibt, dies zu deaktivieren. Andere Computer senden nicht die HTTPS: 1-Header, es ist spezifisch für meinen Computer
TwoDiv
1
Es ist nicht spezifisch für Ihren Computer. Ich vermute, dass die anderen Nutzer noch nicht auf die neueste Version von Chrome aktualisiert haben
Kirby
Wow, das wird ein potentiell großes Problem für WooCommerce. Ich betreibe zwei separate (nicht https-fähige) Websites auf Woo und habe sie gerade mit dem Update gepatcht, das sie veröffentlicht haben. Ich kann mir jedoch vorstellen, dass sich viele Ladenbesitzer darüber beschweren!
Lisburnite
Ich denke, dass es nicht nur um WooCommerce geht, sondern auch darum, wie der Server die Header liest. Bei meiner Arbeit verwenden wir Offload-SSL und verwenden den HTTP-Proto-Parameter, um den Server darüber zu informieren, ob die Anforderung in HTTPS eingegangen ist. Der Server erhält eine einfache HTTP-Anfrage und analysiert diese als wäre es HTTPS. Ich gehe davon aus, dass dies dasselbe Problem ist und wenn die Serverkonfiguration kein HTTPS zulässt, kein SSL hat oder unterschiedliche Ordner für http und https verwendet - stürzen sie ab
TwoDiv
3
@lisburnite Sie betreiben Commerce-Websites, die nicht über HTTPS bereitgestellt werden? Sie sollten Ihren Kunden wahrscheinlich einen gewissen Schutz bieten und das beheben ...
Ashley
3

Es ist mehr als nur Wocommerce, es ist alles WordPress, das durcheinander kommt und schlechte CSS, Bilder usw. verursacht.

Fügen Sie dies in der Nähe des oberen Randes Ihrer wp-config.php hinzu, um es zu entfernen

if($_SERVER['HTTP_HTTPS'] && !$_SERVER['HTTPS'])
{    unset($_SERVER['HTTP_HTTPS']);
}
Irgendein
quelle
@ Jeder Admin-Bereich funktioniert nicht.
Dhruv Kapatel
indem es auf vielen Websites , die gestern brachen, ohne Frage
Jeden
1

Sie können dies versuchen, um den HTTP_HTTPSHeader zu deaktivieren .

if(!isset($_SERVER['HTTPS']) || $_SERVER['HTTPS'] != 'on') {
    unset($_SERVER['HTTP_HTTPS']);
}
Aley
quelle