Bảo mật: Tìm hiểu các vấn đề bảo mật

Tiếng Kayce Basques
Tiếng Basques Kayce
Twitter GitHub Lỗi

Sử dụng bảng Bảo mật trong Công cụ của Chrome cho nhà phát triển để đảm bảo HTTPS được triển khai đúng cách trên một trang. Xem bài viết Tại sao HTTPS lại quan trọng để tìm hiểu lý do cần bảo vệ mọi trang web bằng HTTPS, kể cả những trang web không xử lý dữ liệu nhạy cảm của người dùng.

Mở bảng điều khiển Bảo mật

Bảng Bảo mật là vị trí chính trong Công cụ cho nhà phát triển để kiểm tra tính bảo mật của trang.

  1. Mở Công cụ cho nhà phát triển.

  2. Nhấp vào thẻ Bảo mật để mở bảng điều khiển Bảo mật.

    Bảng điều khiển bảo mật

    Hình 1 Bảng điều khiển bảo mật

Các sự cố thường gặp

Nguồn gốc chính không an toàn

Khi nguồn gốc chính của một trang không an toàn, phần Tổng quan về bảo mật sẽ cho biết Trang này không an toàn.

Trang không an toàn

Hình 2. Trang không an toàn

Vấn đề này xảy ra khi URL mà bạn đã truy cập được yêu cầu qua HTTP. Để đảm bảo tính bảo mật, bạn cần yêu cầu qua HTTPS. Ví dụ: nếu bạn nhìn vào URL trong thanh địa chỉ, URL này có thể trông giống như http://example.com. Để đảm bảo an toàn, URL phải là https://example.com.

Nếu đã thiết lập HTTPS trên máy chủ của mình, thì bạn chỉ cần định cấu hình máy chủ để chuyển hướng mọi yêu cầu HTTP sang HTTPS.

Nếu bạn chưa thiết lập HTTPS trên máy chủ, thì Let's Encrypt sẽ là một cách miễn phí và tương đối dễ dàng để bắt đầu quy trình này. Hoặc bạn có thể cân nhắc việc lưu trữ trang web trên CDN. Hiện nay, hầu hết các CDN chính đều lưu trữ trang web trên HTTPS theo mặc định.

Mẹo Quy trình kiểm tra Chuyển hướng lưu lượng truy cập HTTP sang HTTPS trong Lighthouse có thể giúp tự động hoá quy trình đảm bảo rằng tất cả các yêu cầu HTTP đều được chuyển hướng sang HTTPS.

Nội dung hỗn hợp

Nội dung hỗn hợp có nghĩa là nguồn gốc chính của trang là an toàn, nhưng trang đó lại yêu cầu tài nguyên từ các nguồn không an toàn. Các trang có nội dung hỗn hợp chỉ được bảo vệ một phần vì các trình theo dõi có thể truy cập nội dung HTTP và dễ bị tấn công xen giữa.

Nội dung hỗn hợp

Hình 3. Nội dung hỗn hợp

Trong Hình 3 ở trên, việc nhấp vào Xem 1 yêu cầu trong bảng điều khiển Mạng sẽ mở bảng điều khiển Mạng và áp dụng bộ lọc mixed-content:displayed để Nhật ký mạng chỉ hiển thị các tài nguyên không an toàn.

Tài nguyên hỗn hợp trong Nhật ký mạng

Hình 4. Tài nguyên hỗn hợp trong Nhật ký mạng

Xem thông tin chi tiết

Xem chứng chỉ gốc chính

Trong phần Tổng quan về bảo mật, hãy nhấp vào Xem chứng chỉ để kiểm tra nhanh chứng chỉ của nguồn gốc chính.

Chứng chỉ nguồn gốc chính

Hình 5. Chứng chỉ nguồn gốc chính

Xem thông tin chi tiết về nguồn gốc

Nhấp vào một trong các mục nhập trong điều hướng bên trái để xem chi tiết về nguồn gốc. Trên trang chi tiết, bạn có thể xem thông tin kết nối và chứng chỉ. Thông tin về tính minh bạch của chứng chỉ cũng xuất hiện khi có sẵn.

Thông tin chi tiết về nguồn gốc chính

Hình 6. Thông tin chi tiết về nguồn gốc chính