Gibt es neben HTTPS noch andere Optionen zum Sichern einer Website, um Warnungen bei der Texteingabe in Chrome zu vermeiden?

16

Vor einer Woche hat Google mir eine E-Mail gesendet, um HTTPS zu aktivieren. Wenn ich HTTP nicht an HTTPS übertragen möchte, wird meine Verbindung allen Besuchern meiner Site ungesichert angezeigt, die versuchen, Text in meine Site einzugeben.

Gibt es eine andere Möglichkeit, meine Verbindung ohne SSL zu sichern? Da die Verwendung von SSL in einer Web-URL mit hohen Kosten verbunden ist, suche ich stattdessen nach einer anderen Option.

security google-chrome forms Hasan M. Naheen
quelle
27
Haben Sie sich letsencrypt.org angesehen ? Es stellt kostenlose HTTPS-Zertifikate aus. Es ist ein bisschen mühsam, es von Grund auf neu einzurichten, aber viele Hosting-Unternehmen haben es für Sie implementiert.
Stephen Ostermiller
6
Sie können auch Cloudflare verwenden, mit dem Sie kostenlos ein SSL-Zertifikat erhalten.
Ave
2
Die Frage ist nicht, wie man HTTPS benutzt, sondern allgemeiner: Wenn http://es nicht in Ordnung ist, was gibt es sonst noch https://? Gibt es eine abc://, lgbtqiapk+://oder dps://?
Konerak
4
"Kostspieliger Prozess"? Lass uns verschlüsseln ist kostenlos. Also: doesmysiteneedhttps.com
Andrea Lazzarotto

Antworten:

41

Gibt es eine andere Möglichkeit, um meine Verbindung zu sichern?

Google beschwert sich nicht nur über "Sicherheit" (die eine Reihe von verschiedenen Themen umfassen könnte), sondern zielt speziell auf Verschlüsselung / HTTPS ab. Bei einfachem HTTP ist die Verbindung zwischen Client und Server unverschlüsselt, sodass jeder potenziell alles sehen und abfangen kann, was gesendet wird. Dies wird normalerweise nur angezeigt, wenn Sie Benutzern erlauben, sich anzumelden (z. B. Benutzername / Passwort einzugeben) oder Zahlungsinformationen über eine unverschlüsselte Verbindung einzugeben. Allgemeine "Text" -Formulareingaben wären nicht unbedingt ein Problem. Wie @Kevin jedoch in Kommentaren ausführte, plant Google / Chrome, dies in Zukunft zu erweitern :

Schließlich planen wir, alle HTTP-Seiten als nicht sicher zu kennzeichnen und den HTTP-Sicherheitsindikator in das rote Dreieck zu ändern, das wir für defekte HTTPS verwenden.

Die Installation eines SSL-Zertifikats auf Ihrer Site (oder die Verwendung eines Front-End-Proxys wie Cloudflare zur Verarbeitung der SLL) ist die einzige Möglichkeit, den Datenverkehr auf Ihrer Site zu verschlüsseln.

Dies ist heutzutage jedoch nicht unbedingt ein "kostspieliger Prozess". Cloudflare bietet eine "kostenlose" Option und Let's Encrypt ist eine kostenlose Zertifizierungsstelle, die von vielen Hosts standardmäßig unterstützt wird.

DocRoot
quelle
3
"Normalerweise wird dies nur angezeigt, wenn Sie Benutzern erlauben, sich anzumelden (Benutzername / Passwort einzugeben) oder persönliche Informationen über eine unverschlüsselte Verbindung einzugeben. Allgemeiner" Text "wäre nicht unbedingt ein Problem." Dies wird bald nicht mehr wahr sein; Chrome zeigt die Warnung für JEDES Texteingabefeld an. Es kann schließlich nicht den Unterschied zwischen potenziell sensiblen Informationen und harmlosen Dingen wie Suchanfragen erkennen. Daher wurde die Entscheidung getroffen, bei allem nur zu warnen.
Muzer
2
@Muzer Es ist im allgemeinen auch nicht entscheidbar , wenn die Texteingabe ist empfindlich - wenn ich in meiner Heimatadresse eingeben oder eine Suche nach meinem peinlich medizinischen Problem tun, könnte das nicht auf eine Lauscher sehr interessant sein.
Apsillers
6
Schließlich zeigt Chrome diese Warnung für alle HTTP-Sites an , sodass es keine langfristige Alternative zu HTTPS gibt.
Kevin
3
Bei dieser Antwort fehlt der größte Vorteil von HTTPS gegenüber der einfachen Ende-zu-Ende-Verschlüsselung, nämlich der Identität. Mit HTTPS kann Ihr Server seinen Clients beweisen, dass es sich tatsächlich um den Server handelt, für den er sich ausgibt, ohne dass zuvor eine bestimmte Authentifizierungsmethode festgelegt werden muss. End-to-End-Verschlüsselung allein hilft nicht, wenn der Client eine Verbindung zu einem Server hergestellt hat, der einem böswilligen Akteur gehört.
IllusiveBrian
4
@IllusiveBrian Obwohl es bei dieser Frage nicht wirklich um die "Vorteile von HTTPS" geht (es gibt bereits Fragen, die das abdecken), geht es bei dieser Frage darum, die "Warnung" zur Browsersicherheit in Google / Chrome zu vermeiden. Aber HTTPS muss nicht unbedingt "Identität beweisen" - dafür müssten Sie mehr Geld für ein OV- oder EV-Zertifikat bezahlen. Im Kontext dieser Frage dreht sich alles um Verschlüsselung.
DocRoot
4

Ich empfehle nicht, aber Sie können diese Meldung umgehen, indem Sie nicht die ursprünglichen Eingabetextfelder verwenden. Sie können mit regular divthat have onkeypressevent Ihre eigenen Eingabefelder erstellen . Sie können auch ein divElement erstellen , für das das contenteditableAttribut festgelegt ist true.

Auf diese Weise können die Benutzer Informationen auf Ihrer Site eingeben, ohne inputTag-Elemente zu verwenden.

Aminadav Glickshtein
quelle
41
Das ist eine wirklich schlechte Idee. Dies löst nicht das Sicherheitsproblem, zu dessen Lösung Sie von Google aufgefordert werden, und führt wahrscheinlich zu Problemen für Nutzer, die Ihre Website auf eine etwas andere Weise als die von Ihnen getesteten verwenden (z. B. ein anderer Browser, ein anderes Telefon, ein Screenreader etc). Es wird wahrscheinlich auch Passwort-Manager brechen.
23.
Das Absenden des Formulars wäre bei diesem Ansatz problematisch.
the_lotus
3
Sie brauchen das FORMULAR nicht zu posten. Sie können XMLlHTTPRequest(auch bekannt als AJAX) zum Senden der Informationen verwenden
Aminadav Glickshtein
18
Ich würde Ihre Antwort von "Nicht empfehlen" auf "Niemals dies tun" ändern. Sie umgehen so viele Standards, dass Sie möglicherweise keine Webanwendung mehr erstellen.
Caimen
2
Brauche ich wirklich 125 Punkte, um dieses Ding abzustimmen? oO
Andrea Lazzarotto
4

Wenn Sie nur statische Dateien bereitstellen oder einen Proxy voranstellen können, können Sie einen Server wie einen Caddy-Server verwenden, der all dies für Sie erledigt, indem Sie lets encrypt verwenden. Dies entlastet die Bereitstellung von Zertifikaten und Sie müssen dies nicht Installieren Sie eine andere Software.

Alternativ können Sie auch einen Service wie Cloudflare nutzen - der kostenlose Tarif bietet kostenloses https.

Schließlich bieten einige Hosts jetzt kostenlose https-Zertifikate an, einschließlich dreamhost . Prüfen Sie also, ob Ihr aktueller Host dies als Option anbietet.

Ich würde nicht empfehlen, nach einer Problemumgehung zu suchen. Es gibt nur einen Weg, um Ihre Site sicher zu machen, und Browser werden schließlich auf jeder Site, die kein https hat, eine Warnung anzeigen, unabhängig vom Inhalt. Das Web bewegt sich überall in Richtung https.

Kenny Grant
quelle
1
Firefox hat jetzt auch Warnungen für unsichere Anmeldeseiten eingeführt, und alle gängigen Browser haben sich dafür entschieden, http2 nur mit https-Unterstützung bereitzustellen, was bedeutet, dass die nächste Version des Protokolls de facto nur https ist.
Kenny Grant
1
@closetnoc GoDaddy ist in mehrfacher Hinsicht eine Abzocke. Wir (webdev company) kauften unsere Zertifikate für 7 € pro Jahr, was erschwinglich war, aber nicht für hundert Websites. Jetzt verwenden wir Let's Encrypt und holen sie uns kostenlos, damit wir SSL auf alle setzen können. Unseren Kunden gefällt es und wir nutzen gerne HTTP / 2. Habe keine Probleme mit der Erneuerung gehabt. Die Zertifikate halten 90 Tage und wir versuchen, sie nach 60 Tagen täglich zu verlängern. Viel Überlappung für den Fall, dass etwas schief geht (was es nicht hat). Verwenden Sie Cloudflare, wenn Sie keine Probleme haben möchten.
Martijn Heemels
1
@closetnoc ssl ist mehr als nur Verschlüsselung. Es gewährleistet außerdem Integrität, Sicherheit und Datenschutz, sodass Inhalte auf einer Seite nicht von einem MitM'er gesehen (z. B. Ihr Arbeitgeber, ein Überwachungsstatus) oder geändert (z. B. eingespritzte Anzeigen) werden können. Außerdem wird verhindert, dass MitMing-Benutzer die Authentifizierungsdaten Ihres Freundes abrufen (die möglicherweise zum Hochladen unerwünschter Inhalte auf die Website verwendet werden können). Auch ein Martijn sagte, GoDaddy ist eine riesige Abzocke, und insgesamt sind ungünstig. Ich würde Ihrem Freund empfehlen, sich Google-Domains, namecheap und gandi anzuschauen (ich bin mit keinem verbunden).
Ave
1
@MartijnHeemels Ich bin damit einverstanden, dass GoDaddy überteuert ist. GROSSE ZEIT! Es sieht so aus, als ob Let's Encrypt der richtige Weg für die meisten Websites ist, deren Inhalt im Allgemeinen harmlos ist. Ich kann sehen, dass für einige Websites auch vollständig geprüfte Zertifikate verlangt werden. Würden Sie glauben, dass ich früher eine Zertifizierungsstelle war? Ich glaube, ich bevorzuge es, wenn die Konzerte ein Jahr alt waren. Ich traue kürzeren Zeiträumen nicht. Aber welche Möglichkeiten gibt es heutzutage? Prost!!
Closetnoc
1
@closetnoc Es ist nicht schwer, bezahlte SSL-Zertifikate von anerkannten Zertifizierungsstellen mit einer Gültigkeit von 1 Jahr für etwa 10 USD pro Stück zu finden. Damit erhalten Sie jedoch offensichtlich kein "vollständig geprüftes" Zertifikat. Wenn Sie das wirklich wollen, müssen Sie durch die Reifen springen, um ein EV-Zertifikat zu erhalten, und den entsprechenden Preis zahlen (und wie bereits erwähnt, sind nicht einmal EV-Zertifikate perfekt oder kommen ohne Einschränkungen). Let's Encrypt erläutert einige der Gründe, warum ihre Zertifikate auf ihrer Website nur 90 Tage gültig sind. Die Existenz von Let's Encrypt hat jedoch (noch) nicht dazu geführt, dass kommerzielle Zertifizierungsstellen ihre DV-Zertifizierungsangebote in Anspruch genommen haben.
ein Lebenslauf
4

niemand anderes scheint erwähnt zu haben,

wenn Sie jeden Computer besitzen, der eine Verbindung zu Ihrer Site herstellt

zB "das ist wahrscheinlich nicht was du willst"

Wie in einer Unternehmenseinstellung können Sie eine eigene Zertifizierungsstelle erstellen und das öffentliche Zertifikat auf allen Computern installieren (auch auf allen Browsern und Zertifizierungsspeichern), die eine Verbindung zu Ihrer Site herstellen. Diese Option ist frei von Monetarisierung durch Dritte. Es ist die gleiche Verschlüsselung, Sie werden jedoch nicht in der öffentlichen Vertrauensstellung angemeldet (z. B. wird Ihre Berechtigung nicht von Google Chrome, Mozillas Firefox usw. wie bei Let's Encrypts erkannt), sondern von Computern, die Sie so konfiguriert haben, dass Sie sich selbst vertrauen .

Zugegeben, die Abmachungen für die Einrichtung einer Zertifizierungsstelle sind schwierig, etwas unklar, und die Wartung kann eine Menge Arbeit bedeuten. Ich lasse sie hier weg, wahrscheinlich ist es das Beste, wenn Sie sich eingehend mit dem Thema befassen, an dem Sie wirklich interessiert sind bei diesem Ansatz.

Für eine Nieve-Bereitstellung, wenn Sie XCA ausprobieren können

XCS ist eine gute Möglichkeit, Zertifikate für kleine Bereitstellungen auszustellen, und enthält eine Hilfedokumentation, die das gesamte Setup durchläuft.

ThorSummoner
quelle
2
Mit ziemlicher Sicherheit müssen Sie mehr Zeit für die Einrichtung Ihrer eigenen Zertifizierungsstelle aufwenden, als für den Kauf eines kommerziellen SSL-Zertifikats. Dann gibt es immer die Möglichkeit, etwas falsch zu machen.
Eric J.
1

Ich habe ein paar Ideen.

Wenn der Grund für HTTPS die Verwaltung von Anmeldungen ist, können Sie die Auswirkungen auf alle Browser minimieren, indem Sie den Benutzern die Möglichkeit geben, angemeldet zu bleiben. Wenn sich ein Benutzer anmeldet, kann ein Cookie dauerhaft auf dem Computer des Benutzers gespeichert werden, damit der Benutzer es beim nächsten Mal tut Wenn er seinen Computer einschaltet, um auf die Site zuzugreifen, wird er automatisch angemeldet, anstatt immer eine Anmeldeaufforderung und möglicherweise eine Sicherheitswarnung zu erhalten.

Eine andere Idee, die die Nachricht umgehen kann, aber sowohl für den Gast als auch für den Server mehr Arbeit bedeutet, ist, dass ein Gast eine spezielle Datei mit der richtigen verschlüsselten Konfiguration hochlädt. Wenn Sie beispielsweise den Anmeldebildschirm aufrufen möchten, müssen Sie den Benutzer nicht auffordern, seinen Benutzernamen und sein Kennwort in zwei Textfeldern einzugeben, sondern eine kleine Datei hochladen, die seinen Benutzernamen und sein Kennwort verschlüsselt enthält (z. B. Komprimieren des Benutzernamens und des Kennworts als ZIP-Datei) Datei mit einer bestimmten Komprimierungsstufe), dann kann der Server die Datei entschlüsseln, um den Benutzernamen und das Kennwort zu extrahieren. Der potenzielle Hacker sieht während der Übertragung Kauderwelsch, wenn der Benutzer die Datei an den Server sendet. Ein kleiner Vorteil dieser Idee ist eine etwas schnellere Verbindungsgeschwindigkeit, da die SSL-Verbindungsverarbeitung nicht in HTTP stattfindet.

Mike
quelle
Eine kommende Version von Chrome warnt vor jeglicher Texteingabe, nicht nur vor Passwortfeldern. Alle Daten, die HTML-Formulare verwenden, müssen HTTPS-fähig sein, um Warnungen zu vermeiden, nicht nur die Anmeldung. Google hat Benachrichtigungen über die Suchkonsole an Websitebesitzer gesendet, von deren Websites Google annimmt, dass sie betroffen sind.
Stephen Ostermiller
1

Nein.

Jeder Hack, den Sie versuchen (z. B. versuchen, mit Javascript zu verschlüsseln), ist sehr unwahrscheinlich, dass er auch nur annähernd sicher ist.

SSL muss nicht "teuer" sein, viele Hosting-Anbieter bieten es kostenlos an. Und selbst Dinge wie Cloudflare bieten kostenloses SSL und behalten das aktuelle Hosting bei.

Mazharul Haq SEO
quelle
-3

Eine kostenlose und schnelle Lösung ist Let's Encrypt. Link Sie haben Dokumentation für fast jedes Server-Betriebssystem. Wir verwenden es bei unserer Arbeit und unsere W2P-Anbieter verwenden es, um jede unserer Storefronts zu sichern.

Riddjim
quelle
3
Diese Antwort fügt nichts hinzu, was noch nicht gesagt wurde.
Stephen Ostermiller