Wie kann man statische Inhalte ohne https auf einer sicheren Site bereitstellen?

8

Ich möchte statischen Inhalt von meiner Website bereitstellen, aber meine Website ist nur https. Mein statischer http-Server dient nur http-Inhalten (nicht https), aber viele IE-Benutzer beschweren sich darüber, dass sie sich nicht anmelden können.

Was muss ich tun? Sollte ich meinem http-Server mit statischem Inhalt https hinzufügen?

licorna
quelle

Antworten:

13

Internet Explorer und ich denke, einige andere Browser warnen einen Benutzer, wenn die Assets für eine Site, die das httpsProtokoll verwendet, von bereitgestellt werden http. Die erste beste Lösung besteht darin, Ihrem statischen Asset-Server die Bereitstellung sicherer Inhalte zu ermöglichen und Ihre Site ein konsistentes Protokoll verwenden zu lassen. Die zweitbeste Lösung besteht darin, eine Seite auf Ihrer sicheren Site zu erstellen, die ein Proxy ist. Grundsätzlich müssen Sie eine dynamische Seite erstellen, die die externe Seite oder das externe Asset aufruft und über diesen Proxy zurückgibt. Wie diese Seite geschrieben wird, hängt davon ab, welche dynamische Programmiersprache Ihnen auf dem sicheren Server zur Verfügung steht.

Grundsätzlich hat IE ein legitimes Sicherheitsproblem mit Mischprotokollen. Es weiß, dass es dem httpsServer vertrauen kann, aber es vertraut dem nicht http.

artlung
quelle
1
Andere Browser verschlechtern sich bei gemischten Inhalten in weniger lauten Moden und ändern häufig das Verhalten des Vorhängeschlosssymbols, auf das nur die Hälfte der Internetbevölkerung achtet. Ich bin damit einverstanden, dass der Internet Explorer das Richtige tut, indem er eine offensichtliche Warnung ausgibt. Es ist richtig, einige Elemente wurden sicher gesendet, andere nicht.
Tim Post
Je früher native Unterstützung für das Blockieren von HTTP-Cookies bei Verwendung von HTTPS vorhanden ist, desto eher kann diese Meldung verschwinden und keine Probleme mehr verursachen. Es ist nicht so, dass die zusätzlichen HTTP-Header sogar für den statischen Inhalt benötigt werden, der außerhalb der HTTPS-Seite bereitgestellt wird.
Metalshark
2
@Metalshark: Es geht weit mehr als nur um Cookies. Wenn Sie sich eine HTTPS-Seite ansehen, möchten Sie in der Lage sein, allem zu vertrauen, was darin steht. Jemand könnte zum Beispiel ein Bild fälschen und ersetzen, was es zeigt / sagt. Sie möchten auch eine Verknüpfung zu vertrauenswürdigen, nicht geänderten Skripten herstellen.
Bruno
0

Ich denke, Sie müssen Ihr Denken klarstellen, weil Ihre Frage nicht wirklich Sinn macht.

Statisch und sicher schließen sich nicht gegenseitig aus oder sind sogar miteinander verbunden. Sie können sicheren statischen Inhalt und nicht sicheren nicht statischen Inhalt haben. Sicher bedeutet nur, dass es verschlüsselt ist (SSL, dh https). Statisch bedeutet, dass es nicht pro Anforderung für den Client generiert wird. Dies sind zwei grundlegend unterschiedliche Konzepte.

Wenn Sie Ihre Terminologie nicht verwechseln, würde ich fragen, warum Ihr sicherer Server keine statischen Inhalte bereitstellen kann. Ich vermute, dass dies der Fall ist. Sie müssen also nur Ihren statischen Inhalt auf den sicheren Server stellen, und dann wird sich ein Browser nicht über den gemischten http / https-Inhalt beschweren, da alles https sein wird. Wenn der sichere Server wirklich technische Einschränkungen aufweist, die verhindern, dass er statischen Inhalt bereitstellt (z. B. kann er nicht einmal eine CSS-Datei bereitstellen), sollten Sie das Hinzufügen von SSL zu dem anderen Server, den Sie verwenden, in Betracht ziehen.

SW
quelle