Come servire contenuto statico senza https in un sito sicuro?

8

Voglio pubblicare contenuti statici dal mio sito ma il mio sito è solo https. Il mio server http statico serve solo contenuti http (non https) ma molti utenti di IE si lamentano di non essere in grado di accedere.

Cosa devo fare? Devo aggiungere https al mio server http con contenuto statico?

https internet-explorer

— licorna
fonte

13

Internet Explorer e io pensiamo che alcuni altri browser avvertiranno un utente quando httpsvengono servite le risorse per un sito che utilizza il protocollo http. La prima soluzione migliore è consentire al tuo server di risorse statiche di pubblicare contenuti sicuri e di utilizzare un protocollo coerente per il tuo sito. La seconda soluzione migliore sarà quella di creare una pagina sul tuo sito sicuro che sia un proxy, in pratica devi creare una pagina dinamica che chiama la pagina esterna o la risorsa e la restituisce attraverso quel proxy. La modalità di scrittura della pagina dipende dal linguaggio di programmazione dinamico disponibile sul server sicuro.

Fondamentalmente IE ha un legittimo problema di sicurezza con i protocolli di missaggio. Si sa che può fidarsi del httpsserver, ma non si fida l' httpuno.

— artlung
fonte

1

Altri browser si degradano in mode meno rumorose per i contenuti misti, modificando spesso il comportamento dell'icona 'lucchetto' a cui solo metà della popolazione di Internet presta attenzione. Sono d'accordo che IE stia facendo "la cosa giusta (TM)" lanciando un ovvio avvertimento. È corretto, alcuni elementi sono stati inviati in modo sicuro, altri no.

— Tim Post

Prima c'è il supporto nativo per bloccare i cookie su HTTP quando si utilizza HTTPS, prima questo messaggio può scomparire e smettere di causare problemi. Non è come se le intestazioni HTTP aggiuntive fossero richieste anche per il contenuto statico che viene pubblicato lontano dalla pagina HTTPS.

— Metalshark,

2

@Metalshark: è molto più che sui cookie. Quando guardi una pagina HTTPS, vuoi essere in grado di fidarti di tutto ciò che dice. Qualcuno potrebbe forgiare un'immagine e sostituire ciò che mostra / dice, per esempio. Si desidera inoltre collegarsi a script attendibili e non modificati.

— Bruno,

0

Penso che tu debba chiarire il tuo pensiero perché la tua domanda non ha davvero senso.

Statico e sicuro non si escludono a vicenda né sono reciprocamente correlati. È possibile disporre di contenuto statico protetto e contenuto non statico non protetto. Sicuro significa solo che è crittografato (SSL, ovvero https). Statico significa che non viene generato per richiesta per il client. Questi sono due concetti fondamentalmente diversi.

Se non stai confondendo la tua terminologia, ti chiederei perché il tuo server sicuro non può fornire contenuto statico. La mia ipotesi è che lo sia, quindi devi solo mettere il tuo contenuto statico sul server sicuro e quindi un browser non si lamenterà del contenuto misto http / https perché sarà tutto https. Se c'è davvero qualche limitazione tecnica sul server sicuro che gli impedisce di pubblicare contenuti statici (ad esempio, non può nemmeno servire un file CSS), allora sì, dovresti cercare di aggiungere SSL all'altro server che stai utilizzando.

— SW
fonte