Bezpieczeństwo: informacje o problemach z bezpieczeństwem

W Narzędziach deweloperskich w Chrome otwórz panel Bezpieczeństwo, aby sprawdzić, czy na stronie jest prawidłowo zaimplementowany protokół HTTPS. Aby dowiedzieć się, dlaczego każda witryna powinna być chroniona za pomocą protokołu HTTPS, nawet jeśli nie obsługuje danych wrażliwych użytkowników, przeczytaj artykuł Dlaczego HTTPS jest ważny.

Omówienie

Panel Bezpieczeństwo to główne miejsce w Narzędziach deweloperskich, w którym można sprawdzić zabezpieczenia strony. Panel Bezpieczeństwo zawiera omówienie źródeł stron, w tym ostrzeżenia dotyczące zabezpieczeń HTTP, szczegóły pochodzenia i certyfikaty.

Otwórz panel Bezpieczeństwo

Aby otworzyć panel Bezpieczeństwo, wykonaj te czynności:

  1. Otwórz Narzędzia deweloperskie.
  2. Otwórz menu Polecenia, naciskając:
    • macOS: Command + Shift + P.
    • Windows, Linux, ChromeOS: Control + Shift + P.
  3. Zacznij pisać security, wybierz Pokaż panel Bezpieczeństwo i naciśnij Enter.

    Panel Bezpieczeństwo.

    Rysunek 1 Panel Bezpieczeństwo

W prawym górnym rogu kliknij more_vert Więcej opcji > Więcej narzędzi > Bezpieczeństwo.

Typowe problemy

Główne niezabezpieczone źródła

Jeśli główne źródło strony nie jest bezpieczne, na stronie Przegląd zabezpieczeń wyświetla się komunikat Ta strona nie jest bezpieczna.

niezabezpieczona strona;

Rysunek 2. niezabezpieczona strona;

Ten problem występuje, gdy żądanie adresu URL zostało przesłane przez HTTP. Aby zapewnić bezpieczeństwo, musisz wysłać żądanie przez HTTPS. Jeśli na przykład spojrzysz na adres URL w pasku adresu, będzie on wyglądał podobnie do http://example.com. Aby zapewnić bezpieczeństwo, adres URL powinien być https://example.com.

Jeśli HTTPS jest już skonfigurowany na serwerze, wystarczy skonfigurować serwer tak, aby przekierowywał wszystkie żądania HTTP do HTTPS.

Jeśli na serwerze nie masz skonfigurowanego protokołu HTTPS, możesz skorzystać z bezpłatnego i względnie prostego narzędzia Let's Encrypt. Możesz też hostować witrynę w sieci CDN. Obecnie większość usług CDN hostuje witryny w protokole HTTPS.

Treść mieszana

Treści mieszane oznaczają, że główne źródło strony jest bezpieczne, ale strona zażądała zasobów z niebezpiecznych źródeł. Strony z treścią mieszaną są chronione tylko częściowo, ponieważ treści HTTP są dostępne dla snifferów i podatne na ataki typu „man-in-the-middle”.

Treści mieszane.

Rysunek 3. Treść mieszana

Na rys. 3 kliknięcie Wyświetl 1 żądanie w panelu Sieć powoduje otwarcie panelu Sieć i zastosowanie filtra mixed-content:displayed, dzięki czemu w dzienniku sieci będą widoczne tylko zasoby niezabezpieczone.

Mieszane zasoby w logu sieci.

Rysunek 4 Mieszane zasoby w dzienniku sieci

Wyświetl szczegóły

Wyświetlanie głównego certyfikatu pochodzenia

Na stronie Przegląd zabezpieczeń kliknij Wyświetl certyfikat, aby szybko sprawdzić certyfikat głównego źródła.

główny certyfikat źródła,

Rysunek 5. certyfikat głównego źródła;

Wyświetlanie szczegółów źródła

Kliknij jeden z wpisów w menu nawigacyjnym po lewej stronie, aby wyświetlić szczegóły pochodzenia. Na stronie z informacjami możesz wyświetlić informacje o połączeniu i certyfikacie. W przypadku dostępności wyświetlane są też informacje o przejrzystości certyfikatu.

Szczegóły głównego źródła.

Rysunek 6. Szczegóły głównego źródła