1. घर
  2. सवाल और जवाब
  3. एसएसएल से बचें "आप किसी ऐसे कनेक्शन पर रीडायरेक्ट किए जा रहे हैं जो सुरक्षित नहीं है।" संदेश

एसएसएल से बचें "आप किसी ऐसे कनेक्शन पर रीडायरेक्ट किए जा रहे हैं जो सुरक्षित नहीं है।" संदेश

2009-07-26 6 views
9

मेरे पास एक लॉगिन स्क्रीन है जिसे मैं SSL पर सेवा कर रहा हूं। उपयोगकर्ता अपने लॉगिन/पासवर्ड में भरता है, यह सर्वर पर पोस्ट हो जाता है। इस बिंदु पर मैं एसएसएल से बाहर निकलना चाहता हूं, इसलिए मैं उन्हें बिना किसी एसएसएल के उसी पृष्ठ पर रीडायरेक्ट करता हूं।एसएसएल से बचें "आप किसी ऐसे कनेक्शन पर रीडायरेक्ट किए जा रहे हैं जो सुरक्षित नहीं है।" संदेश

यह ब्राउज़र को चेतावनी संवाद दिखाने का कारण बनता है "आप किसी ऐसे कनेक्शन पर रीडायरेक्ट होने वाले हैं जो सुरक्षित नहीं है"। इससे कैसे बचा जा सकता है? मैं याहू मेल जैसी साइट्स और जीमेल जो आपको लॉगिन के लिए एक एसएसएल पेज देता हूं, फिर आपको इसके बाद एक गैर-एसएसएल पेज पर भेजता हूं।

माध्यमिक प्रश्न: इस संवाद का उद्देश्य क्या है? यह मुझे कुछ बेईमान उद्देश्य के बारे में चेतावनी देने की कोशिश कर रहा है - लेकिन किसी को गैर-एसएसएल पृष्ठ पर रीडायरेक्ट करने के बारे में इतना बुरा क्या है? जब मैं एक एसएसएल पेज पर हूं और एक गैर-एसएसएल लिंक पर क्लिक करता हूं तो मुझे चेतावनी नहीं मिलती है। किसी को पुनर्निर्देशित करने के बारे में क्या अलग है?

मैं इसे एएसपी.नेट 2.0 में कर रहा हूं - लेकिन मुझे लगता है कि यह एक सामान्य वेब-देव प्रश्न है।

अद्यतन सारांश: ऐसा लगता है कि लोकप्रिय जवाब "इसे से बचें"। मैं समझ सकता हूं कि जब उपयोगकर्ता को हटाया जा रहा है तो उपयोगकर्ता को एक संदेश प्राप्त करना चाहिए। लेकिन जब मैं एक लिंक का पालन करता हूं और सुरक्षा हटा दी जाती है तो मुझे कोई संवाद नहीं मिलता है, इसलिए कम से कम मैं कहूंगा कि यह असंगत है।

संवाद/ब्राउज़र संस्करण। मैं वास्तव में आईई 7/एफएफ 3 में संवाद नहीं देखता (शायद मैंने इसे रोकने वाले चेकबॉक्स पर क्लिक किया है)। अधिक महत्वपूर्ण बात यह है कि क्लाइंट इसे आईई 6 में देखता है - इसे हटाने के लिए कोई चेकबॉक्स नहीं है (हाँ, मुझे पता है कि आईई 6 पुराना और बकवास है)।

Firefox2: FF2 http://img521.imageshack.us/img521/8455/sslwarning.jpg

IE6: IE6 http://img188.imageshack.us/img188/139/sslwarningie6.jpg

विकल्प: पूरी साइट एसएसएल बनाने, एसएसएल से बाहर उपयोगकर्ता अनुप्रेषित कभी नहीं। मैं इसे संभाल सकता था। लेकिन मेरे पास एक अर्ध-तकनीकी ग्राहक है जिसके पास कुछ अच्छे अंक हैं:

  • "एसएसएल यातायात/प्रसंस्करण शक्ति में वृद्धि का कारण बन रहा है"। मैं वास्तव में यह नहीं खरीदता हूं, और मुझे नहीं लगता कि उनकी साइट को प्रत्येक सेवा के लिए एक से अधिक बॉक्स की आवश्यकता होगी।
  • "याहू यह करता है। याहू एक बड़ी तकनीकी कंपनी है। क्या आप याहू से ज्यादा चालाक हैं?"

मैं क्लाइंट को पूरी तरह से SSL साइट पर चलाने का प्रयास करने जा रहा हूं। मैं 1 99 6 में याहू के दृष्टिकोण को समझने के लिए तर्क दूंगा, या ऐसी साइट के लिए जो बहुत अधिक लोकप्रिय है। कुछ आधिकारिक लिंक बताते हैं कि यह संवाद क्यों होता है (यानी जैकोब नील्सन प्रामाणिकता का स्तर)।

स्रोत

2009-07-26 TesterTurnedDeveloper

उत्तर

1

पूरे पृष्ठ के लिए एसएसएल का उपयोग करें पहले स्थान पर!

एसएसएल के साथ कुछ भी गलत नहीं है। आपको केवल लॉगिन पर न केवल उपयोगकर्ता गोपनीयता प्रदान करनी चाहिए। यह पूरी साइट को समझ में आता है। तो बस सभी गैर-एसएसएल पृष्ठों को एसएसएल पृष्ठों पर रीडायरेक्ट करें और सब कुछ एसएसएल रखें।

स्रोत

2009-07-26 23:18:12 vog

+0

एसएसएल डोमेन ऐप डोमेन से अलग होने के मामले में क्या है? एक एसएसओ प्रकार सेटअप की तरह। – Joel

+1

कुछ संभवतः एसएसएल से बचना पसंद कर सकते हैं क्योंकि यह अधिक बैंडविड्थ का उपभोग करता है (एन्क्रिप्टेड डेटा आमतौर पर इसके क्लीयरक्स्ट समकक्ष से बड़ा होता है), और अतिरिक्त सीपीयू हिट (वास्तविक एन्क्रिप्शन प्रक्रिया के लिए)। – Abignale

+0

@Abignale: क्रिप्टोग्राफ़िक ट्रैफिक ओवरहेड अफ्रीका शायद ही कभी मनाया जाता है। इसके अलावा, क्रिप्टोग्राफी आमतौर पर संपीड़न के साथ संयुक्त होती है, इसलिए यदि आपने पहले संपीड़न (उदा। Mod_deflate) का उपयोग नहीं किया है, तो क्रिप्टोग्राफ़ी यातायात को भी _decrease_ सकता है। – vog

1

उद्देश्य के लिए: यह आपको यह बताने के लिए है कि आपका कनेक्शन एसएसएल एन्क्रिप्टेड नहीं होगा। आपने इससे पहले देखा होगा कि कनेक्शन एन्क्रिप्ट किया गया है और ऐसा लगता है कि यह अभी भी है, इसलिए यह चेतावनी कहती है "बस स्पष्ट होने के लिए, आप जो भी डेटा यहां से भेजते हैं वह सादे टेक्स्ट होगा"

इसे दबाने के तरीके के रूप में: AFAIK आप नहीं कर सकते हैं, यह ब्राउज़र की बात है, अन्यथा संदेश का बिंदु क्या होगा? हालांकि क्लाइंट-साइड रीडायरेक्ट जैसे वर्कअराउंड हैं, मुझे नहीं लगता कि आपको इस तरह की क्लाइंट "समस्याएं" के आसपास काम करने का प्रयास करना चाहिए। यदि ब्राउज़र वर्बोज़ होने का विकल्प चुनता है, तो इसे चलो। सभी के बाद संवाद पर "इसे फिर से न दिखाएं" चेकबॉक्स है यदि उपयोगकर्ता इस संदेश को दबाने की इच्छा रखता है तो वह आसानी से ऐसा कर सकता है, और शायद वह वास्तव में इसे देखना पसंद करता है।
इसके अलावा, आईएमएचओ, यदि ब्राउजर अपने नमक के लायक था तो यह अभी भी इस चेतावनी को पॉप अप करेगा, भले ही आपने क्लाइंट-साइड रीडायरेक्ट ट्रिक्स को नियोजित किया हो।

स्रोत

2009-07-26 23:20:13 deceze

+2

कम से कम फ़ायरफ़ॉक्स में उस विशेष संवाद के लिए वास्तव में "इसे फिर से न दिखाएं" चेकबॉक्स नहीं है। –

+0

पीएफएफ, विवरण ...; ओ) – deceze

5

"मैं इससे कैसे बच सकता हूं?"

आपको नहीं करना चाहिए!

हालांकि आप जावास्क्रिप्ट के साथ कोशिश कर सकते हैं। यह कुछ ब्राउज़रों पर काम कर सकता है और दूसरों पर असफल हो सकता है।

"इस संवाद का उद्देश्य क्या है?"

यह चेतावनी देता है क्योंकि वेबसाइटों पर एसएसएल और गैर-एसएसएल के बीच स्विचिंग आमतौर पर उपयोगकर्ता द्वारा अप्रत्याशित होती है। "गैर-एसएसएल से एसएसएल" के बारे में एक चेतावनी उत्सर्जित नहीं होती है क्योंकि इससे सुरक्षा और गोपनीयता बढ़ जाती है। हालांकि, जब सुरक्षा अचानक होती है में कमी आई है, तो सुरक्षा की झूठी भावना से बचने के लिए उपयोगकर्ता को तुरंत यह ध्यान देना चाहिए। वास्तव में, गैर-एसएसएल साइट पर रीडायरेक्ट करना कभी-कभी एक्सएसएस/एमआईटीएम हमलों में उपयोग किया जाता है।

यह बकवास है "SSL यातायात/प्रसंस्करण शक्ति में वृद्धि का कारण जा रहा है"। यह बड़ी, स्थैतिक सामग्री से भरे साइटों के लिए सच हो सकता है। हालांकि, सामान्य गतिशील वेब अनुप्रयोगों के लिए, व्यवसाय तर्क, डेटाबेस पहुंच इत्यादि की तुलना में एन्क्रिप्शन बहुत सस्ता है।

एक शहरी किंवदंती कह रही है कि एसएसएल-सामग्री ब्राउज़र द्वारा छेड़छाड़ नहीं की जाती है। अधिक जानकारी के लिए "Will web browsers cache content over https" देखें।

"याहू यह करता है। याहू एक बड़ी तकनीकी कंपनी है। क्या आप याहू से ज्यादा चालाक हैं?"

कुछ बयानबाजी जवाबी सवाल:

  • आप याहू की तरह एक बड़ा तकनीकी कंपनी हैं?
  • क्या एक बड़ी तकनीकी कंपनी माइक्रोसॉफ्ट को क्रैपी सॉफ्टवेयर बनाने से रोकती है?
  • क्या आपको क्रैपी पुराने (एसएसएल-टूटे हुए) ब्राउज़र का समर्थन करना है, जैसा याहू को करना है?

स्रोत

2009-07-26 23:21:42 vog

+0

जब तक आप एक गैर-एसएसएल सर्वर से अपने स्थिर मीडिया की सेवा कर सकते हैं, यह ठीक होना चाहिए। एसएसएल पर स्थैतिक मीडिया की सेवा करने का मतलब है कि इसे कैश नहीं किया जाएगा - किसी भी अच्छे कारण के लिए अनुभव को थोड़ा धीमा नहीं कर रहा है – Jiaaro

+1

@ जिम रॉबर्ट: यह एक शहरी किंवदंती है। देखें: http://stackoverflow.com/questions/174348/will-web-browsers-cache-content-over-https – vog

8

मैंने थोड़ी देर पहले इसी समस्या को मारा है। तो मैंने यह देखने के लिए फिडलर के अंदर एक नज़र डाली थी कि याहू मेल कैसे करता है। यहां मैंने जो कदम देखा है (और मेरी साइट पर उपयोग किया गया है):

उपयोगकर्ता एसएसएल एन्क्रिप्टेड फॉर्म में भरता है, और सर्वर पर POSTs। सर्वर प्रमाणित करता है, और कुछ स्क्रिप्ट बाहर थूक ग्राहक

<script language="JavaScript"> 
<!-- 
window.location.replace("~~ non-SSL URL ~~"); 
// --> 
</script>

मैं समझ क्लाइंट साइड कोड है इस संवाद से बचने के लिए पुनर्निर्देशित करने के लिए।

स्रोत

2009-07-26 23:31:38 russau

+0

+1: मैं बस इसका सुझाव देने वाला था। – Joel

+0

बस ध्यान दें कि यह जावास्क्रिप्ट सक्रिय होने पर निर्भर करता है। मुझे लगता है कि आप इसके बजाय मेटा रीडायरेक्ट टैग का उपयोग कर सकते हैं। – deceze

+2

ब्राउजर को चेतावनी देने का एक अच्छा कारण है। आपको यह समझने के बिना परिधि नहीं करना चाहिए कि यह पहले स्थान पर क्यों है। लक्षणों से लड़ने के बजाय आपको परेशानी की जड़ तक उतरना चाहिए। – vog

0

जीमेल, याहू, आदि एक एन्क्रिप्टेड आईफ्रेम के लिए एसएसएल का उपयोग करते हैं, जो प्रमाणित करता है, लेकिन इसमें कोई भी पृष्ठ रीडायरेक्शन नहीं है जिसके बारे में आप बात कर रहे हैं। पूरे पृष्ठ को इन लॉगिन सिस्टम के लिए एन्क्रिप्ट नहीं किया गया है।

स्रोत

2009-07-27 01:06:30

+0

लेकिन फिर आपको 'इस पृष्ठ में सुरक्षित और असुरक्षित सामग्री' के बारे में संदेश मिलते हैं –

+0

मुझे लगता है कि अधिकांश आधुनिक ब्राउज़र केवल दिखाते हैं कि यदि आपका रूट पृष्ठ SSL है। चूंकि यह एन्क्रिप्टेड सामग्री वाला एक अनएन्क्रिप्टेड पृष्ठ है, जो दिखाई नहीं देता है। –

1

यह हमला जो हमला कर रहा है वह एक मैन-इन-द-बीच एसएसएल सत्र पट्टी है। संदेश अच्छे कारण के साथ है।

स्रोत

2009-07-27 01:59:17 clemahieu

1

बस मिश्रित मोड सामग्री (fscked.org पर लुकअप कुकी मॉन्स्टर) और प्रॉक्सी हमलों (http और https, लुकअप सुंदर-खराब-प्रॉक्सी दोनों में उपलब्ध साइटों के विरुद्ध) के खिलाफ नवीनतम हमलों पर अपने क्लाइंट को इंगित करें। वह पुनर्विचार कर सकता है।

सुरक्षा अधिकार प्राप्त करना बहुत आसान है यदि आप केवल दो प्रोटोकॉल के बिना एक प्रोटोकॉल से निपटते हैं। एसएसएल थोड़ा ओवरहेड जोड़ता है, लेकिन यह उल्लंघन की लागत की तुलना में कुछ भी नहीं है।

स्रोत

2009-08-14 17:23:34 Nasko

0

पढ़ा गया: http://support.microsoft.com/kb/883740 जो कहता है कि यह हॉटफिक्स में या बदली गई रजिस्ट्री सेटिंग के साथ तय है। हालांकि, हमारे द्वारा उपयोग किए जाने वाले सभी आईई 6 सीपीयू में यह समस्या नहीं है, न ही उनकी रजिस्ट्री सेटिंग इस लेख के अनुरूप होती है कि उन्हें क्या करना चाहिए। कुछ जो संदेश देते हैं वे XPsp3 और IE6 SP3 हैं।

हमारे पास स्क्रीन में एक https लॉग है जो 15 अन्य (http) डोमेन में लॉग इन करने के लिए कोड का उपयोग करती है और हमारे कुछ आई 6 उपयोगकर्ताओं को 'हां' 15 बार क्लिक करना होता है। यह उनके लिए अस्वीकार्य है। नहीं, हम अपने सभी उपयोगकर्ताओं द्वारा उपयोग किए जाने वाले ब्राउज़र को नियंत्रित नहीं कर सकते हैं। कुछ आईई 7 में अपग्रेड के साथ संगत नहीं हैं।

हम प्रत्येक उपयोगकर्ता को समायोजित करने के लिए कुछ कॉन्फ़िगरेशन विशेषता ढूंढ रहे हैं जो इस संदेश को दबाएगा। हमने सेटिंग के साथ एक 'खराब' ब्राउज़र को समान रूप से कॉन्फ़िगर किया है जो संदेश से मेल नहीं खाता है। इंटरनेट और इंट्रानेट सुरक्षा और उन्नत सेटिंग्स और प्रॉक्सी (कोई भी नहीं)। नेटवर्क कनेक्शन भी। अब तक कोई खुशी नहीं है।

कोई विचार?

स्रोत

2009-08-18 17:16:02

संबंधित मुद्दे
नवीनतम प्रश्न

 संबंधित मुद्दे