Existem outras opções além do HTTPS para proteger um site para evitar avisos de entrada de texto no Chrome?

16

Há uma semana, o Google me enviou um email para usar HTTPS. Se eu não transferir o HTTP para HTTPS, ele mostrará minha conexão não segura a todos os visitantes do site que tentarão inserir texto no meu site.

Sem usar SSL, existe outra maneira de tornar minha conexão segura? Como está relacionado ao processo oneroso de usar SSL no URL da web, estou procurando por qualquer outra opção.

security google-chrome forms Hasan M. Naheen
fonte
27
Você já olhou para letsencrypt.org ? Emite certificados HTTPS gratuitos. É um pouco complicado configurar do zero, mas muitas empresas de hospedagem o implementaram para você.
Stephen Ostermiller
6
Você também pode usar o cloudflare, que oferece um certificado SSL de graça.
Ave
2
A questão não é "como usar HTTPS", mas mais ampla que isso: se http://não estiver tudo bem, o que mais há além https://? Existe um abc://, lgbtqiapk+://ou dps://?
precisa saber é o seguinte
4
"Processo caro"? Vamos criptografar é grátis. Também: doesmysiteneedhttps.com
Andrea Lazzarotto

Respostas:

41

existe alguma outra maneira de tornar minha conexão segura?

O Google não está apenas reclamando da "segurança" (que pode incluir vários tópicos diferentes), mas também direcionando especificamente a criptografia / HTTPS. Com o HTTP simples, a conexão entre o cliente e o servidor não é criptografada, permitindo que qualquer pessoa veja e intercepte tudo o que for enviado. Normalmente, isso só é solicitado se você estiver permitindo que os usuários efetuem login (por exemplo, enviando nome de usuário / senha) ou enviando informações de pagamento por uma conexão não criptografada. O envio geral de formulários de "texto" não seria necessariamente um problema. No entanto, como @Kevin apontou nos comentários, o Google / Chrome planeja estender isso no futuro :

Por fim, planejamos rotular todas as páginas HTTP como não seguras e alteramos o indicador de segurança HTTP para o triângulo vermelho que usamos para HTTPS quebrado.

Instalar um certificado SSL no seu site (ou usar um proxy front-end como o Cloudflare para lidar com a SLL) é a única maneira de criptografar o tráfego do seu site.

No entanto, esse não é necessariamente um "processo caro" atualmente. O Cloudflare tem uma opção "grátis" e o Let's Encrypt é uma Autoridade de Certificação gratuita que muitos hosts suportam por padrão.

DocRoot
fonte
3
"Normalmente, isso só seria solicitado se você permitir que os usuários efetuem login (enviando nome de usuário / senha) ou enviando informações pessoais por uma conexão não criptografada." Texto "geral não seria necessariamente um problema." Isso logo não será mais verdade; O Chrome exibirá o aviso para QUALQUER campo de entrada de texto. Ele não pode dizer a diferença entre informações potencialmente sensíveis e coisas benignas, como pesquisas, afinal, então a decisão foi tomada para alertar sobre tudo.
Muzer
2
@ Muuzer Também geralmente não é decidível se a entrada de texto é sensível - se eu digitar meu endereço residencial ou pesquisar meu problema médico embaraçoso, esses podem ser muito interessantes para um interceptador.
Apsillers
6
Eventualmente, o Chrome exibirá esse aviso para todos os sites HTTP ; portanto, não há alternativa a longo prazo para o HTTPS.
Kevin
3
Essa resposta está perdendo a maior vantagem do HTTPS sobre a criptografia simples de ponta a ponta, que é a identidade. O HTTPS permite que seu servidor prove para seus clientes que ele é realmente o servidor que afirma ser sem ter que organizar especificamente um método de autenticação com antecedência. A criptografia de ponta a ponta por si só não ajuda se o cliente tiver se conectado a um servidor pertencente a um agente mal-intencionado.
precisa
4
@IllusiveBrian Embora esta questão não seja realmente sobre as "vantagens do HTTPS" (já existem perguntas que já abordam isso), esta questão é sobre como evitar o "aviso" de segurança do navegador no Google / Chrome. Mas o HTTPS não necessariamente "prova a identidade" - para isso, você precisará pagar mais dinheiro por um certificado OV ou EV. No contexto desta pergunta, é tudo sobre criptografia.
docroot
4

Não recomendo, mas você pode ignorar esta mensagem, não usando os campos de texto de entrada originais. Você pode criar seus próprios campos de entrada, usando regulares divque possuem onkeypressevento. Ou você pode criar um divelemento com o contenteditableatributo definido como true.

Dessa forma, os usuários poderão inserir informações no seu site, sem usar inputelementos de tag.

Aminadav Glickshtein
fonte
41
Esta é uma péssima ideia. Ele não resolve o problema de segurança que o Google está incentivando você a resolver e provavelmente causará problemas para os usuários que estão usando seu site de uma maneira ligeiramente diferente da forma como você o testou (por exemplo, um navegador, telefone, um leitor de tela etc). Provavelmente, também quebrará os gerenciadores de senhas.
Thelem 23/08/19
A publicação do formulário seria problemática com essa abordagem.
the_lotus
3
Você não precisa postar o FORMULÁRIO. Você pode usar XMLlHTTPRequest(aka AJAX) para enviar as informações
Aminadav Glickshtein
18
Eu mudaria a resposta de "não recomendo" para "nunca faça isso". Você está contornando tantos padrões ao fazer isso e pode não estar mais criando um aplicativo da Web.
Caimen
2
Eu realmente preciso de 125 pontos para rebater essa coisa? oO
Andrea Lazzarotto
4

Se você está apenas servindo arquivos estáticos ou pode colocar um proxy à frente, pode usar um servidor como o servidor caddy, que lida com tudo isso usando o lets encrypt, isso reduz o esforço de aprovisionamento de certificados e você não precisa instale qualquer outro software.

Como alternativa, você pode usar um serviço como o cloudflare - o plano gratuito oferece https grátis.

Finalmente, alguns hosts oferecem certificados https gratuitos agora, incluindo o dreamhost . Portanto, verifique se o seu host atual oferece isso como uma opção.

Eu não recomendaria tentar encontrar uma solução alternativa, existe apenas uma maneira de tornar seu site seguro, e os navegadores receberão um aviso em todos os sites que não possuem https, independentemente do conteúdo. A web está avançando para https em qualquer lugar.

Kenny Grant
fonte
1
O Firefox também introduziu avisos agora em páginas de login inseguras, e todos os principais navegadores optaram por fornecer http2 apenas com suporte a https, o que significa que a próxima versão do protocolo é de fato apenas https.
Kenny Grant
1
@closetnoc O GoDaddy é um roubo de várias maneiras. Nós (empresa webdev) comprávamos nossos certificados por 7 euros por ano, o que era acessível, mas não para cem sites. Agora, estamos usando o Let's Encrypt e os obtenha de graça, por isso colocamos o SSL em todos eles. Nossos clientes gostam e gostamos de usar HTTP / 2. Não tiveram problemas com a renovação. Certos duram 90 dias e começamos a tentar renovar diariamente após 60 dias. Muita sobreposição no caso de algo dar errado (o que não aconteceu). Use Cloudflare se você não quer o aborrecimento.
Martijn Heemels
1
O @closetnoc ssl é mais do que criptografia, também garante integridade, segurança e privacidade; portanto, as coisas na página não podem ser vistas (por exemplo, seu empregador, um estado de sobrevivência) ou alteradas (por exemplo, anúncios injetados) por um MitM'er. Além disso, evita que as pessoas do MitMing detectem os dados de autenticação de seus amigos (que provavelmente podem ser usados ​​para carregar conteúdo indesejado no site). Além disso, disse Martijn, o GoDaddy é uma imensa imitação e, no geral, são desfavoráveis. Eu recomendo que seu amigo verifique os domínios do google, namecheap e gandi (não sou afiliado a nenhum).
Ave
1
@MartijnHeemels Concordo que o GoDaddy é muito caro. GRANDE MOMENTO! Parece que Let's Encrypt é o caminho a seguir para a maioria dos sites que geralmente têm conteúdo benigno. Também posso ver certificados totalmente examinados em alguns sites. Você acreditaria que eu costumava ser uma autoridade de certificação? Acho que prefiro quando as certidões duravam um ano. Não confio em períodos mais curtos. Mas que escolhas existem hoje em dia? Felicidades!!
Closetnoc 24/08/19
1
@closetnoc Não é difícil encontrar certificados SSL pagos de CAs reconhecidas com validade de 1 ano por cerca de US $ 10 cada. Mas isso obviamente não lhe dará um certificado "totalmente aprovado"; se você realmente quer isso, precisa pular os bastidores para obter um certificado EV e pagar o preço correspondente (e, como já foi indicado anteriormente, nem mesmo os certificados EV são perfeitos ou sem advertências). Let's Encrypt discute algumas das razões pelas quais seus certificados são válidos apenas por 90 dias em seu site, mas a existência de Let's Encrypt (ainda) não levou (ainda) as CAs comerciais a obter suas ofertas de certificados de DV.
um CVn
4

ninguém mais parece ter mencionado,

se você possui todas as máquinas que se conectam ao seu site

por exemplo, "provavelmente não é isso que você deseja"

, como uma configuração corporativa, você pode criar sua própria autoridade de certificação, instalar seu certificado público em todas as máquinas (em todos os navegadores e lojas de certificados) que se conectam ao seu site. essa opção está livre de monetização de terceiros; é a mesma cifra de criptografia, mas você ainda não está logado na confiança pública (por exemplo, sua autoridade não é reconhecida pelo Chrome do Google, Firefox da Mozilla etc. .

é certo que as negociações para a criação de uma autoridade de certificação são complicadas, um tanto obscuras e a manutenção pode dar muito trabalho; portanto, deixarei aqui de fora. nesta abordagem.

embora para uma implantação nieve, se você puder experimentar o XCA

O XCS é uma maneira decente de emitir certificados para pequenas implantações e inclui documentação de ajuda que percorre toda a instalação.

ThorSummoner
fonte
2
Você certamente gastará mais configurando sua própria CA (em horário de trabalho, se nada mais) do que comprando um certificado SSL comercial. Então, sempre há a possibilidade de fazer algo errado.
Eric J.
1

Eu tenho algumas idéias.

Se o motivo do HTTPS for gerenciar logins, você poderá minimizar o efeito em todos os navegadores oferecendo que os usuários permaneçam conectados. Quando um usuário fizer login, um cookie poderá ser permanentemente armazenado no computador do usuário, para a próxima vez que o usuário ligar o computador para acessar o site, ele entraria automaticamente em vez de sempre receber um prompt de login e possivelmente um aviso de segurança.

Outra idéia que pode ignorar a mensagem, mas que seria mais trabalhosa para o convidado e para o servidor, é fazer com que um convidado carregue um arquivo especial com a configuração adequada criptografada. Por exemplo, para a tela de login, em vez de solicitar ao usuário que digite seu nome de usuário e senha em duas caixas de texto, faça com que ele faça upload de um pequeno arquivo que contenha seu nome de usuário e senha criptografados (por exemplo, compactando o nome de usuário e a senha como um zip com um nível de compactação específico), o servidor pode descriptografar o arquivo para extrair o nome de usuário e a senha. O hacker em potencial verá bobagens em trânsito quando o usuário enviar o arquivo para o servidor. Apenas uma pequena vantagem dessa idéia é uma velocidade de conexão um pouco mais rápida, pois o processamento da conexão SSL não ocorre no HTTP.

Mike
fonte
Uma versão futura do Chrome alertará sobre qualquer entrada de texto, não apenas campos de senha. Todos os dados que usam formulários HTML precisarão ser HTTPS para evitar avisos, não apenas o login. O Google envia notificações via Search Console a proprietários de sites cujos sites o Google acha que serão efetivados.
Stephen Ostermiller
1

Não.

Qualquer invasão que você tentar (por exemplo, tentar criptografar com javascript), é muito improvável que esteja perto de ser segura.

O SSL não precisa ser "caro", muitos provedores de hospedagem o oferecem gratuitamente. E até coisas como cloudflare oferecem SSL grátis e mantêm a hospedagem atual.

Mazharul Haq SEO
fonte
-3

Uma solução rápida e gratuita é Let's Encrypt. Link Eles têm documentação para quase todos os sistemas operacionais de servidor. Nós o usamos em nosso trabalho e nossos fornecedores de W2P o utilizam para proteger cada uma de nossas fachadas de lojas.

Riddjim
fonte
3
Esta resposta não adiciona nada que ainda não foi dito.
Stephen Ostermiller