امنیت: مسائل امنیتی را درک کنید

از پانل امنیتی در ابزار توسعه کروم استفاده کنید تا مطمئن شوید که HTTPS به درستی در یک صفحه پیاده سازی شده است. ببینید چرا HTTPS مهم است تا بدانید چرا هر وب‌سایت باید با HTTPS محافظت شود، حتی سایت‌هایی که داده‌های حساس کاربر را مدیریت نمی‌کنند.

نمای کلی

پنل Security محل اصلی در DevTools برای بررسی امنیت یک صفحه است. پانل امنیت یک نمای کلی از مبدا صفحه شما را ارائه می دهد که شامل هشدارهای امنیتی HTTP، جزئیات مبدا و گواهینامه ها می شود.

پنل Security را باز کنید

برای باز کردن پنل امنیتی ، مراحل زیر را دنبال کنید:

  1. DevTools را باز کنید .
  2. منوی Command را با فشار دادن:
    • macOS: Command + Shift + P
    • Windows، Linux، ChromeOS: Control + Shift + P
  3. شروع به تایپ security کنید، Show Security panel را انتخاب کنید و Enter را فشار دهید.

    پنل امنیتی

    شکل 1 . پنل امنیتی

از طرف دیگر، در گوشه بالا سمت راست، more_vert گزینه‌های بیشتر > ابزارهای بیشتر > امنیت را انتخاب کنید.

مشکلات رایج

منشاء اصلی غیر ایمن

هنگامی که مبدأ اصلی یک صفحه ایمن نیست، نمای کلی امنیت می گوید این صفحه امن نیست .

یک صفحه غیر ایمن

شکل 2 . یک صفحه غیر ایمن

این مشکل زمانی رخ می دهد که نشانی اینترنتی مورد بازدید شما از طریق HTTP درخواست شده باشد. برای ایمن کردن آن باید آن را از طریق HTTPS درخواست کنید. برای مثال، اگر به URL موجود در نوار آدرس خود نگاه کنید، احتمالاً شبیه به http://example.com است. برای ایمن کردن آن، URL باید https://example.com باشد.

اگر قبلاً HTTPS را روی سرور خود تنظیم کرده اید، تنها کاری که برای رفع این مشکل باید انجام دهید این است که سرور خود را به گونه ای پیکربندی کنید که تمام درخواست های HTTP را به HTTPS هدایت کند.

اگر HTTPS روی سرور خود راه‌اندازی نکرده‌اید، Let's Encrypt یک راه رایگان و نسبتاً آسان برای شروع فرآیند ارائه می‌کند. یا ممکن است در نظر داشته باشید که سایت خود را روی CDN میزبانی کنید. اکثر CDN های اصلی به طور پیش فرض میزبان سایت ها در HTTPS هستند.

محتوای ترکیبی

محتوای مختلط به این معنی است که مبدأ اصلی یک صفحه امن است، اما صفحه منابعی را از منابع غیر ایمن درخواست کرده است. صفحات محتوای مختلط فقط تا حدی محافظت می‌شوند زیرا محتوای HTTP در دسترس sniffers است و در برابر حملات Man-in-the-Middle آسیب‌پذیر است.

محتوای مختلط

شکل 3 . محتوای ترکیبی

در شکل 3 ، با کلیک روی مشاهده درخواست 1 در پنل شبکه، پانل شبکه باز می شود و فیلتر mixed-content:displayed اعمال می شود به طوری که گزارش شبکه فقط منابع غیر ایمن را نشان می دهد.

منابع ترکیبی در گزارش شبکه

شکل 4 . منابع ترکیبی در گزارش شبکه

مشاهده جزئیات

مشاهده گواهی مبدأ اصلی

از نمای کلی امنیت، روی مشاهده گواهی کلیک کنید تا به سرعت گواهی منبع اصلی را بررسی کنید.

گواهی مبدأ اصلی

شکل 5 . گواهی مبدأ اصلی

مشاهده جزئیات مبدا

برای مشاهده جزئیات مبدا، روی یکی از ورودی های سمت چپ کلیک کنید. از صفحه جزئیات می توانید اطلاعات اتصال و گواهی را مشاهده کنید. اطلاعات شفافیت گواهی نیز در صورت موجود بودن نشان داده می شود.

جزئیات مبدا اصلی

شکل 6 . جزئیات مبدا اصلی

،

از پانل امنیتی در ابزار توسعه کروم استفاده کنید تا مطمئن شوید که HTTPS به درستی در یک صفحه پیاده سازی شده است. ببینید چرا HTTPS مهم است تا بدانید چرا هر وب‌سایت باید با HTTPS محافظت شود، حتی سایت‌هایی که داده‌های حساس کاربر را مدیریت نمی‌کنند.

نمای کلی

پنل Security محل اصلی در DevTools برای بررسی امنیت یک صفحه است. پانل امنیت یک نمای کلی از مبدا صفحه شما را ارائه می دهد که شامل هشدارهای امنیتی HTTP، جزئیات مبدا و گواهینامه ها می شود.

پنل Security را باز کنید

برای باز کردن پنل امنیتی ، مراحل زیر را دنبال کنید:

  1. DevTools را باز کنید .
  2. منوی Command را با فشار دادن:
    • macOS: Command + Shift + P
    • Windows، Linux، ChromeOS: Control + Shift + P
  3. شروع به تایپ security کنید، Show Security panel را انتخاب کنید و Enter را فشار دهید.

    پنل امنیتی

    شکل 1 . پنل امنیتی

از طرف دیگر، در گوشه بالا سمت راست، more_vert گزینه‌های بیشتر > ابزارهای بیشتر > امنیت را انتخاب کنید.

مشکلات رایج

منشاء اصلی غیر ایمن

هنگامی که مبدأ اصلی یک صفحه ایمن نیست، نمای کلی امنیت می گوید این صفحه امن نیست .

یک صفحه غیر ایمن

شکل 2 . یک صفحه غیر ایمن

این مشکل زمانی رخ می دهد که نشانی اینترنتی مورد بازدید شما از طریق HTTP درخواست شده باشد. برای ایمن کردن آن باید آن را از طریق HTTPS درخواست کنید. برای مثال، اگر به URL موجود در نوار آدرس خود نگاه کنید، احتمالاً شبیه به http://example.com است. برای ایمن کردن آن، URL باید https://example.com باشد.

اگر قبلاً HTTPS را روی سرور خود تنظیم کرده اید، تنها کاری که برای رفع این مشکل باید انجام دهید این است که سرور خود را به گونه ای پیکربندی کنید که تمام درخواست های HTTP را به HTTPS هدایت کند.

اگر HTTPS روی سرور خود راه‌اندازی نکرده‌اید، Let's Encrypt یک راه رایگان و نسبتاً آسان برای شروع فرآیند ارائه می‌کند. یا ممکن است در نظر داشته باشید که سایت خود را روی CDN میزبانی کنید. اکثر CDN های اصلی به طور پیش فرض میزبان سایت ها در HTTPS هستند.

محتوای ترکیبی

محتوای مختلط به این معنی است که مبدأ اصلی یک صفحه امن است، اما صفحه منابعی را از منابع غیر ایمن درخواست کرده است. صفحات محتوای مختلط فقط تا حدی محافظت می‌شوند زیرا محتوای HTTP در دسترس sniffers است و در برابر حملات Man-in-the-Middle آسیب‌پذیر است.

محتوای مختلط

شکل 3 . محتوای ترکیبی

در شکل 3 ، با کلیک روی مشاهده درخواست 1 در پنل شبکه، پانل شبکه باز می شود و فیلتر mixed-content:displayed اعمال می شود به طوری که گزارش شبکه فقط منابع غیر ایمن را نشان می دهد.

منابع ترکیبی در گزارش شبکه

شکل 4 . منابع ترکیبی در گزارش شبکه

مشاهده جزئیات

مشاهده گواهی مبدأ اصلی

از نمای کلی امنیت، روی مشاهده گواهی کلیک کنید تا به سرعت گواهی منبع اصلی را بررسی کنید.

گواهی مبدأ اصلی

شکل 5 . گواهی مبدأ اصلی

مشاهده جزئیات مبدا

برای مشاهده جزئیات مبدا، روی یکی از ورودی های سمت چپ کلیک کنید. از صفحه جزئیات می توانید اطلاعات اتصال و گواهی را مشاهده کنید. اطلاعات شفافیت گواهی نیز در صورت موجود بودن نشان داده می شود.

جزئیات مبدا اصلی

شکل 6 . جزئیات مبدا اصلی