对Stack Exchange网站的更好的HTTPS支持[重复]
元堆栈交换 | 2021-01-07 | 编程黑洞网 | | 252 人阅读
因此,看起来Stack Exchange现在支持HTTPS(在某种程度上)。太棒了!但是存在一些问题,主要的问题是某些内容是通过CDN(即纯HTTP)传递的。这导致浏览器抱怨“不安全的内容”:
评论
答案是不要这样做...因为我们在网站上不支持https://。
这就是为什么@Zypher被标记为[feature-request]:P
要补充@Zypher的评论,请参见此答案。
为什么需要通过https访问stackexchange?我真的很想知道!
@KirkWoll之类的事情为什么Stack Overflow团队无法解决Firesheep风格的cookie盗窃问题?
推迟状态-推迟到什么时候?最初的双曲线请求是为了避免发生火警,这是一年多以前的事了……现在看来是解决该问题的好时机。
据我了解,出于正当的理由,可以说服某些证书颁发机构签发签名证书。我认为,像stackexchange网络这样规模庞大的事物应该接受获得签名证书的想法(也是由于域名的快速变化以实现前向兼容)
等等,哪些网站支持SSL?我在信息安全上尝试过,但失败了。与Security.BlogOverflow相同。
@KirkWoll:曾经不希望使用https吗?缺少它只会让我感到脆弱。
@Zypher此功能的状态是什么?我感到根本没有考虑到这一点-SSL的状态(从我的角度来看)与2011年相同。
不是这方面的专家,但是这也不能帮助绕过公司防火墙阻止越来越多来此地抱怨无法添加评论等内容的用户的JS文件吗?
哦,我讲得太早了。大家好!
通过HTTPS在堆栈溢出中显示
请注意,快速链接(其中包含/ a /等的短链接)从HTTPS重定向到HTTP。最好采用其他方法,或者至少不会自动降低安全性:-)。
@Zypher Google即将在其排名算法中使用HTTPS支持:googleonlinesecurity.blogspot.ca/2014/08/…
#1 楼
2017年5月更新:默认情况下,整个默认情况下,堆栈溢出现在为https,而不仅仅是用于登录。谢谢,而且做得很好。
SSL Labs服务器测试得分为stackoverflow.com A +级。
HTTPS应该是通用的。为什么? “除电子商务网站之外的http”的现状非常糟糕:
情报机构正在对所有人进行大规模监视(NSA的Prism,GCHQ的Tempora)。可以窃取帐户。 (您应该信任您的ISP,您的移动网络,咖啡馆中的无线网络吗?不,不,不!)再次,HTTPS应该是通用的。有共识。
Facebook,Twitter,Google都是HTTPS。他们的声誉取决于用户的安全性。
HTTP 2.0草案规范将HTTPS强制性化。他们说:
价格昂贵
很难
Google驳斥了费用https://www.imperialviolet.org/2010/06/25 /overclocking-ssl.html
HTTPS中的“ S”代表“安全”,安全性由SSL / TLS提供。 SSL / TLS是一种标准网络协议,已在每个浏览器和Web服务器中实施,以为HTTPS流量提供机密性和完整性。 / TLS在计算上不再昂贵。十年前,这可能是真的,但事实并非如此。您也可以负担得起为用户启用HTTPS。
在今年1月(2010年),默认情况下,Gmail切换为对所有内容都使用HTTPS。以前,它是作为一种选项引入的,但是现在,我们所有的用户都使用HTTPS来始终保护其浏览器和Google之间的电子邮件安全。为此,我们不必部署其他机器,也无需部署特殊硬件。在我们的生产前端计算机上,SSL / TLS占CPU负载的不到1%,每个连接的内存少于10KB,网络开销不到2%。许多人认为SSL需要占用大量CPU时间,我们希望上述数字(首次公开)将有助于消除这种情况。 :SSL / TLS不再在计算上变得昂贵。
并鼓励每个站点增强其安全性https://www.imperialviolet.org/2011/02/06/stillinexpensive。 html
所有站点都应该部署HTTPS,因为像Firesheep这样的攻击太容易了。即使您未登录的站点也应部署HTTPS(想象在大型金融会议上以欺骗新闻网站为标题的“市场崩溃”的影响)。而且,您应该使用HSTS停止sslstrip。
SSL不再是计算上的昂贵。这是近来HTTPS部署的实际成本:
虚拟主机仍然无法在现实世界中工作,因为Microsoft从未向Windows XP提供支持。
网站上的内容问题。
#2 楼
HTTPS现在基本上可以在所有主要站点上使用;大多数证书错误似乎都可以解决。但是,除了已经提到的CDN问题之外,我还发现了一些故障。通过HTTPS访问聊天网站。
自动重新登录(在您拥有帐户但有一段时间没有访问的网站上)可能无法正常工作(不确定是否相关)。
网站列表上的网站徽标未显示,因为指向CDN的链接是HTTP(http://cdn.sstatic.net/italian/img/icon-48.png
)。
问题似乎主要归因于与Stack Exchange的显式http://
链接CDN(foo.sstatic.net
),stack.imgur上托管的图像以及Google托管的JQuery副本,网址为http://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js。现在所有这些显然都支持HTTPS。因此,希望可以通过使用协议相对URL(例如//cdn.sstatic.net/foo
)来解决这些问题。
剩余的一些证书错误:例如https://security.blogoverflow.com/2014/01/qotw-49-how-can-someone-go-off-web-and-anonymise-themselves-after-a-life-online/
元站点,这些站点使用stackexchange.com
的子域,例如https://meta.apple.stackexchange.com/
,https://meta.tex.stackexchange.com/
。请注意,该证书声称涵盖了不存在的*.meta.stackexchange.com
;它应该是meta.*.stackexchange.com
(尽管不确定证书是否允许使用类似的通配符)。
#3 楼
2017年5月22日更新:所有Stack Exchange问答站点现在都通过HTTPS交付。如果您对这些细节感到好奇,我在这里写了一个相当详细的描述。接下来是聊天和安全cookie。
准备时间很长,但是我们所有属性的HTTPS转换正在进行中。
#4 楼
HTTPS仍不适用于每个站点元。
解决此问题的一种方法可能是将涵盖的域列表扩展为包括所有SE网站。另一个可能是每个站点都有不同的安全证书(例如,在性能更好的地方,请参阅Information Security.SE)。看来维持该工作将是乏味但绝对可行的。一个人可以在几个小时内将其淘汰,而且甚至不必成为一个非常熟练的人,尤其是经过几次培训实例之后。或者,也许有人可以编写脚本。
上面的建议从这里删除,该建议在一个问题上作为此问题的重复而关闭,在此问题上作为本问题的重复而关闭,显然是改善HTTPS支持的所有请求应该发生什么(与例如询问某些SSL实施决策背后的原因相对)。
#5 楼
NSA的问题
我说这是一项要求,越来越多的信息来自Edward Snowden的泄漏。在这方面情况并没有得到改善,似乎信息越多,情况就越糟。
例如,NSA希望使用Malware感染数百万计算机。 br />
添加对https://
的支持并强行使用所有内容可以帮助确保安全并阻止这种情况的发生,因为它们无法篡改我们提供的内容。
问题有了Net Neutrality
另外,由于Net Neutrality在美国是一个主要问题,因此StackExchange可以为那些在其中大量张贴问题,回答问题,发表评论和查看问题的用户限制。
在此处添加强制https://
还将使他们免受歧视我们正在查看的网站,我们在这些网站上的工作以及我们在网上所做的一切。
总体摘要
我认为这应该是一项要求,不过,互联网的未来正处于危险之中。
评论
当有人说“没有借口”时,通常意味着他们不知道在特定平台上设置SSL实际需要什么。这并不像您在这里布置的那么简单,请阅读我们要做的事情
–尼克·克拉弗♦
2013年6月27日23:30
嗨,尼克。辉煌!我不知道有什么事情发生。真的很酷,谢谢您的帮助。
–上校恐慌
2013年6月27日23:36
@NickCraver您的博客文章中写道:“现在,我们做到了所有这些,而且一切正常,当我们开始将所有人(包括爬网程序)发送到HTTPS时,我们的Google排名发生了什么变化?我们不知道,这有点吓人…… “现在,你为什么不只是问自己的社区?我的意思是-这就是它的目的,不是吗?我知道周围有很多人可以根据将站点大小转换为HTTPS的经验来轻松解决这些问题。我真的很想知道您为什么不简单地问……
– e-sushi
13年7月26日在3:13
@ e-sushi他们确实向网站管理员询问了
–疯狂科学家
13年7月26日在8:42
@MadScientist Darn,我错过了。我很糟糕-感谢您的单挑……非常感谢!
– e-sushi
13年7月26日在9:14
没有工作人员给出正式回应,因此我将向您颁发赏金。
– Ry-
2013年12月25日18:48
-1我不明白此答案的目的。它根本没有解决这个问题。仅当问题为“嗯,我们应该使用SSL?与之相关的优点或缺点吗?”时,此答案才有意义。
–邓肯·琼斯(Duncan Jones)
2014年1月16日14:16
您可能应该更新HTTP / 2上的部分
– Nemo
2015年10月12日19:23
凉。不幸的是,这仍然是一个导致很多页面上出现混合内容警告的问题(或者对于完全禁用混合内容的用户而言,图像破碎了):meta.stackexchange.com/questions/221304/…
–克里斯托弗(Christopher)
16年9月9日在19:15
@NickCraver当时您的博客文章很有启发性,但至今已经过去了三年。在完成当前系列博客文章之后,您会考虑进行更新吗?
–桅杆
16 Sep 12'在12:41