Perché "www." è considerato non sicuro in questo URL HTTPS?

Naviga le tue risposte
23

Stavo facendo alcune richieste di cross-origine a oEmbed di Soundcloud e ho notato alcuni strani comportamenti. < br> Quando faccio una richiesta dal mio localhost, che è su una normale connessione HTTP, tutto ha funzionato bene. Tuttavia, quando il codice è stato inserito nel nostro server di test HTTPS, ho ricevuto il seguente errore dal mio browser:

[blocked] The page at 'https://example.com' was loaded over HTTPS, but ran insecure content from https://www.soundcloud.com/oembed?url=https://soundcloud.com/gwatsky/pumped-up-kicks-remix&format=js&callback=JSON_CALLBACK: this content should also be loaded over HTTPS.

L'URL della richiesta è //www.soundcloud.com/oembed?url=https://soundcloud.com/gwatsky/pumped-up-kicks-remix&format=js&callback=JSON_CALLBACK . Nota " www. ".

Ho provato a specificare il protocollo su HTTPS e rimuovere / specificare il protocollo nel parametro url , ma ho continuato a ricevere l'errore.

Alla fine ho rimosso www. dall'URL e tutto ha funzionato correttamente.

tl; dr Perché avere www. in questo URL HTTPS è considerato un rischio per la sicurezza?

    
posta Jon Snow 24.08.2014 - 08:50
fonte

3 risposte

88

Penso che tu stia facendo un'enorme supposizione con la tua domanda:

Why does Chrome consider the "www." in an HTTPS url as a security risk?

come questo non è semplicemente il caso.

Quello che sta succedendo è che SoundCloud sta forzando gli utenti da www.soundcloud.com a soundcloud.com con un reindirizzamento 301. Il problema è che stanno reindirizzando tutto il traffico su http://soundcloud.com indipendentemente dal protocollo di origine.

Questo è semplicemente un problema di configurazione con il sito Web Soundcloud e non ha nulla a che fare con gli standard di sicurezza del browser o web. Non esiste alcun rischio intrinseco con il sottodominio www in un sito Web.

La soluzione, come hai già capito, è rimuovere il www per evitare il reindirizzamento. Potresti voler rendere gli amministratori del sito consapevoli del problema se sei così inclinato.

    
risposta data 24.08.2014 - 08:56
fonte
15

Il tuo browser mostra questo avviso perché Sound Cloud apparentemente ha un reindirizzamento configurato in modo errato per il seguente URL:

https://www.soundcloud.com/oembed

reindirizza a:

http://soundcloud.com/oembed

Si noti il normale "http". Questo è il motivo per cui il browser sta sollevando una bandiera rossa quando è incorporato in un altro sito Web / pagina basato su https. Considerando che,

https://soundcloud.com/oembed

non viene reindirizzato e rimane quindi sul lato sicuro di http.

    
risposta data 25.08.2014 - 13:45
fonte
0

L'osservazione e il comportamento sono corretti, ma la conclusione è sbagliata. Il certificato SSL viene emesso in due modi

  1. al sito. Nel tuo caso soundcloud.com. Come da convenzione di denominazione, soundcloud.com e www.soundcloud.com sono due nomi diversi. Quindi il sito https ha avuto accesso a www.soundcloud.com, ma ha negato che il certificato non sia stato pubblicato su www.soundcloud.com. Questo non significa che ci sia un problema o che non sia sicuro. I dati stanno ancora superando il livello SSL e forniscono la stessa protezione quando si accede su soundcloud.com.

  2. Nei siti aziendali, il certificato viene rilasciato ai domini jolly. Ma i certificati con caratteri jolly sono molto costosi e, di conseguenza, la maggior parte dei clienti evita di utilizzare la wild card. Nel caso di caratteri jolly, il certificato viene emesso per *. Dominio. Nel tuo caso se il certificato è rilasciato come * .soundcloud.com allora www.soundcloud.com o soundcloud.com funzioneranno tutti. anche w3.soundcloud.com funzionerà anche any.soundcloud.com.

Apprezzo che tu abbia presentato un ottimo argomento di discussione, ma in questo caso è necessario comprendere l'intero certificato SSL, il dominio e il comportamento di denominazione.

Molte volte, anche la configurazione errata della catena di certificati radice nel server porta all'errore.

    
risposta data 26.08.2014 - 05:43
fonte

Leggi altre domande sui tag

L'host webmail conosce la mia password Java è sicuro per il desktop? [duplicare]