Come gestisco i browser che si lamentano del fatto che il mio sito MediaWiki non dispone di risorse non protette? [chiuso]

Question

Come gestisco i browser che si lamentano del fatto che il mio sito MediaWiki non dispone di risorse non protette? [chiuso]

#1 da (2 voti)
#2 da (2 voti)
#3 da (2 voti)

2

Recentemente ho acquistato un abbonamento a un piano di hosting condiviso NameCheap e ho intenzione di eseguire principalmente MediaWiki su di esso. Sono riuscito a configurare tutto bene tranne la crittografia SSL. Quando visito il mio sito web ( link ), il mio browser Chrome mi informa che il mio sito web è verificato da "COMODO RSA Domain Validation Secure Server CA ", ma mi dice anche che ci sono" altre risorse che non sono sicure ". Quindi in sostanza la mia domanda è: "Che cosa faccio per fare in modo che Google Chrome e altri browser Web affermino che il mio sito web è sicuro al 100%?"

So che il certificato è verificato, ma in sostanza, non sono sicuro di cos'altro fare in questa situazione. Forse qualcuno potrebbe spiegare cosa significa Chrome con "altre risorse non sicure"?

Modifica: ho controllato il mio LocalSettings.php e ho visto che la variabile $ wgServer era impostata su link così ho non penso che fosse un problema lì. Buona congettura però!

encryption tls

posta Marcelo 20.05.2015 - 00:43

fonte

3 risposte

2

(Spostato dal commento alla risposta)

Su Firefox, ho trovato 2 avvisi di sicurezza nella console:

Loading mixed (insecure) display content "http://julian.referata.com/w/images/background-normal.png" on a secure page
Loading mixed (insecure) display content "http://juliancubillos.com/favicon.ico" on a secure page

Probabilmente sono la ragione per cui viene visualizzato un segnale di avvertimento, poiché la pagina carica del contenuto dal protocollo HTTP non protetto.

risposta data 20.05.2015 - 05:21

fonte

2

Ho appena fatto un piccolo audit se il tuo sito, ecco i miei risultati.

rapporto di prova ssllabs grado A che è buono
un curl -vvv https://www.jcwiki.website/wiki/Main_Page | grep "http:" non ha prodotto risultati, anche buoni.
L'apertura del sito nella finestra di navigazione in incognito di Google Chrome (versione 42.0.2311.152) genera un avviso di contenuto misto. Ho controllato gli strumenti di sviluppo e il motivo è che una richiesta a " genera un reindirizzamento alla variante http. Le pagine HTTPS dovrebbero caricare TUTTO su HTTPS. (ergo chrome si lamenta).

puoi vedere l'errore in azione attraverso il seguente comando di arricciatura

curl 'https://www.jcwiki.website/w/load.php?debug=false&lang=en&modules=mediawiki.legacy.commonPrint%2Cshared%7Cmediawiki.skinning.interface%7Cmediawiki.ui.button%7Cskins.vector.styles&only=styles&skin=vector&*' -H 'Pragma: no-cache' -H 'Accept-Encoding: gzip, deflate, sdch' -H 'Accept-Language: en-US,en;q=0.8' -H 'User-Agent: Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.152 Safari/537.36' -H 'Accept: text/css,*/*;q=0.1' -H 'Referer: http://www.jcwiki.website/wiki/Main_Page' -H 'Connection: keep-alive' -H 'Cache-Control: no-cache' --compressed -vvv

Dopo ulteriori ricerche, sospetto che la variabile $wgServer in LocalSettings.php non sia impostata correttamente. fonte

Vedo che usi Apache per ospitare il tuo sito, puoi usare questo snippet di vhost per reindirizzare http a https in apache: <VirtualHost *:80> ServerName mysite.example.com DocumentRoot /usr/local/apache2/htdocs Redirect permanent /secure https://mysite.example.com/secure </VirtualHost>

Origine e Fonte 2 per l'utilizzo della riscrittura

risposta data 20.05.2015 - 02:04

fonte

Leggi altre domande sui tag encryption tls

Perché Telegram non utilizza la crittografia end-to-end? [chiuso] Dove scaricare migliaia di campioni di virus per test AV?

score 2 · Accepted Answer

Cosa c'è di sbagliato?

Il waring che stai ricevendo riguarda "Mixed-Mode" che è fondamentalmente quando alcune parti di un sito sono inviate su HTTPS e altre sono inviate su HTTP.

Alcune persone lo considerano non importante perché "I dati importanti sono crittografati" e, sebbene in un certo senso siano corretti, possono comunque rappresentare un rischio per la sicurezza. Il browser generalmente lo segnala per due motivi:

Porta a un falso senso di sicurezza, vedi HTTPS e pensi "tutto è crittografato" ma non è tutto crittografato e il browser non sa cosa è importante e cosa no.
Permette comunque alle persone con accesso Man-in-the-Middle di inserire contenuti e modificare il sito.

Come risolverlo?

Personalmente trovo che FireFox sia molto utile qui ¹ se carichi la pagina in FireFox e premi F12 per far apparire gli Strumenti per sviluppatori. Poi vai alla console che ti mostrerà eventuali errori durante il caricamento della pagina.

In questo caso ci sono due file /w/images/background-normal.png e /favicon.ico che vengono caricati su http. Puoi cambiarli modificando MediaWiki per caricarli su HTTPS tutto il tempo inserendo l'url completo includendo https:// o rendendoli relativi (ad esempio, solo link a /w/images/background-normal.png ) e caricherà su qualsiasi protocollo il resto del sito sta usando.

Come dici tu stai usando Chrome, suppongo che possa fare la stessa cosa, ma non sono sicuro di dove cercare.