אבטחה: הסבר על בעיות אבטחה

Kayce Basques

משתמשים בחלונית אבטחה בכלי הפיתוח ל-Chrome כדי לוודא ש-HTTPS מוטמע כראוי בדף. במאמר למה HTTPS חשוב מוסבר למה צריך להגן על כל אתר באמצעות HTTPS, גם אם הוא לא מטפל במידע אישי רגיש של משתמשים.

סקירה כללית

החלונית אבטחה היא המקום הראשי בכלי הפיתוח לבדיקה של אבטחת הדף. בחלונית אבטחה מוצגת סקירה כללית של מקורות הדף, כולל אזהרות אבטחה של HTTP, פרטי מקור ואישורים.

פתיחת החלונית Security (אבטחה)

כדי לפתוח את החלונית אבטחה:

  1. פותחים את כלי הפיתוח.
  2. כדי לפתוח את תפריט הפקודות, לוחצים על:
    • macOS: ‏ Command+Shift+P
    • ב-Windows, ב-Linux וב-ChromeOS: ‏ Control+Shift+P

  3. מתחילים להקליד security, בוחרים באפשרות הצגת חלונית האבטחה ומקישים על Enter.

    לוח האבטחה.

    איור 1. לוח האבטחה

לחלופין, בפינה השמאלית העליונה, בוחרים באפשרות more_vert אפשרויות נוספות > כלים נוספים > אבטחה.

בעיות נפוצות

מקורות ראשיים לא מאובטחים

אם המקור הראשי של דף לא מאובטח, בסקירה הכללית בנושא אבטחה תופיע ההודעה הדף הזה לא מאובטח.

דף לא מאובטח

איור 2. דף לא מאובטח

הבעיה הזו מתרחשת כשכתובת ה-URL שבה ביקרתם נשלחה בבקשה באמצעות HTTP. כדי שהבקשה תהיה מאובטחת, צריך לבצע אותה באמצעות HTTPS. לדוגמה, אם תעיינו בכתובת ה-URL בסרגל הכתובות, סביר להניח שהיא תיראה כך: http://example.com. כדי שהיא תהיה מאובטחת, כתובת ה-URL צריכה להיות https://example.com.

אם כבר הגדרתם HTTPS בשרת, כל מה שצריך לעשות כדי לפתור את הבעיה הזו הוא להגדיר את השרת להפנות אוטומטית את כל בקשות ה-HTTP ל-HTTPS.

אם לא הגדרתם HTTPS בשרת, תוכלו להשתמש ב-Let's Encrypt כדי להתחיל את התהליך בחינם ובקלות יחסית. לחלופין, כדאי לשקול לארח את האתר ב-CDN. רוב רשתות ה-CDN הגדולות מארחות אתרים ב-HTTPS כברירת מחדל.

תוכן מעורב

תוכן מעורב: המקור הראשי של הדף מאובטח, אבל הדף ביקש משאבים ממקורות לא מאובטחים. דפי תוכן מעורב מוגנים באופן חלקי בלבד, כי תוכן ה-HTTP נגיש למכשירי ניטור (sniffers) וחשוף להתקפות אדם בתווך.

תוכן מעורב.

איור 3. תוכן מעורב

באיור 3, לחיצה על הצגת בקשה אחת בחלונית 'רשת' פותחת את החלונית רשת ומחילה את המסנן mixed-content:displayed, כך שביומן הרשת יוצגו רק משאבים לא מאובטחים.

משאבים מעורבים ביומן הרשת.

איור 4. משאבים מעורבים ביומן הרשת

הצגת פרטים

הצגת אישור המקור הראשי

בדף סקירה כללית של האבטחה, לוחצים על הצגת האישור כדי לבדוק במהירות את האישור של המקור הראשי.

אישור מקור ראשי.

איור 5. אישור מקור ראשי

הצגת פרטי המקור

לוחצים על אחת מהרשומות בתפריט הניווט הימני כדי להציג את פרטי המקור. בדף הפרטים תוכלו לראות את פרטי החיבור והאישור. אם יש מידע על שקיפות האישורים, הוא יוצג גם כן.

פרטי המקור הראשי.

איור 6. פרטי המקור הראשי