Bezpieczeństwo: informacje o problemach z zabezpieczeniami

Skorzystaj z panelu Zabezpieczenia w Narzędziach deweloperskich w Chrome, aby sprawdzić, czy protokół HTTPS jest prawidłowo zaimplementowany na stronie. Z artykułu Dlaczego HTTPS ma znaczenie, dowiesz się, dlaczego warto zabezpieczać każdą witrynę za pomocą protokołu HTTPS – nawet te, które nie obsługują poufnych danych użytkowników.

Otwórz panel Bezpieczeństwo

Panel Bezpieczeństwo to główne miejsce w Narzędziach deweloperskich, gdzie można sprawdzać zabezpieczenia strony.

  1. Otwórz Narzędzia deweloperskie.
  2. Kliknij kartę Bezpieczeństwo, aby otworzyć panel Bezpieczeństwo.

    Panel Bezpieczeństwo

    Rysunek 1. Panel Bezpieczeństwo

Typowe problemy

Niezabezpieczone źródła główne

Jeśli główne źródło strony nie jest bezpieczne, na stronie Przegląd zabezpieczeń wyświetlany jest komunikat Ta strona nie jest bezpieczna.

Niezabezpieczona strona

Rysunek 2. Niezabezpieczona strona

Ten problem występuje, gdy odwiedzony URL został wysłany przez HTTP. Dla bezpieczeństwa musisz wysłać żądanie przez HTTPS. Na przykład jeśli spojrzysz na adres URL w pasku adresu, prawdopodobnie wygląda on podobnie do http://example.com. Aby był bezpieczny, URL powinien mieć postać https://example.com.

Jeśli na serwerze jest już skonfigurowany protokół HTTPS, wystarczy skonfigurować serwer, aby przekierowywał wszystkie żądania HTTP do HTTPS.

Jeśli na serwerze nie masz skonfigurowanego protokołu HTTPS, możesz użyć bezpłatnego i stosunkowo prostego sposobu na rozpoczęcie procesu – Let's Encrypt. Możesz też rozważyć hosting witryny w sieci CDN. Obecnie większość głównych witryn hostujących sieci CDN korzysta z protokołu HTTPS.

Wskazówka Kontrola Przekieruj ruch HTTP do HTTPS w Lighthouse może pomóc w automatyzacji procesu sprawdzania, czy wszystkie żądania HTTP są przekierowywane do HTTPS.

Treść mieszana

Treść mieszana oznacza, że główne źródło strony jest bezpieczne, ale strona zażądała zasobów z niezabezpieczonych źródeł. Strony z treścią mieszaną są chronione tylko częściowo, ponieważ treść HTTP jest dostępna dla snifferów i podatna na ataki typu „man in the middle”.

Treść mieszana

Rysunek 3. Treść mieszana

Na Rys. 3 powyżej kliknięcie Wyświetl żądanie w panelu Sieć spowoduje otwarcie panelu Sieć i użycie filtra mixed-content:displayed, dzięki czemu w dzienniku sieci będą widoczne tylko niezabezpieczone zasoby.

Różne zasoby w dzienniku sieci

Rysunek 4. Różne zasoby w dzienniku sieci

Wyświetl szczegóły

Wyświetl główny certyfikat pochodzenia

Na stronie Przegląd zabezpieczeń kliknij Wyświetl certyfikat, aby szybko sprawdzić certyfikat głównego źródła.

główny certyfikat pochodzenia,

Rysunek 5. główny certyfikat pochodzenia,

Wyświetl szczegóły punktu początkowego

Kliknij jeden z wpisów w panelu nawigacyjnym po lewej stronie, aby wyświetlić szczegóły punktu początkowego. Na stronie szczegółów znajdziesz informacje o połączeniu i certyfikatach. Widoczne są też informacje o przejrzystości certyfikatu.

Szczegóły głównego punktu początkowego

Rysunek 6. Szczegóły głównego punktu początkowego