Como veicular conteúdo estático sem https em um site seguro?

8

Desejo veicular conteúdo estático no meu site, mas meu site é somente https. Meu servidor http estático serve apenas conteúdo http (não https), mas muitos usuários do IE estão reclamando por não conseguirem fazer login.

O que eu preciso fazer? Devo adicionar https ao meu servidor http de conteúdo estático?

https internet-explorer licorna
fonte

Respostas:

13

O Internet Explorer e eu acho que alguns outros navegadores avisarão um usuário quando os ativos de um site usando o httpsprotocolo forem fornecidos http. A primeira melhor solução é permitir que seu servidor de ativos estáticos sirva conteúdo seguro e faça com que seu site use um protocolo consistente. A segunda melhor solução será criar uma página em seu site seguro que seja um proxy. Basicamente, você precisará criar uma página dinâmica que chame a página ou o ativo externo e a retorne através desse proxy. Como essa página é escrita depende de qual linguagem de programação dinâmica está disponível para você no servidor seguro.

Basicamente, o IE tem um problema de segurança legítimo com a mistura de protocolos. Ele sabe que pode confiar no httpsservidor, mas não confia nele http.

artlung
fonte
11
Outros navegadores se degradam em modas menos ruidosas para conteúdo misto, modificando frequentemente o comportamento do ícone do 'cadeado' ao qual apenas metade da população da Internet presta atenção. Concordo que o IE está fazendo 'a coisa certa (TM)' ao lançar um aviso óbvio. Está correto, alguns elementos foram enviados com segurança, outros não.
Tim Post
Quanto mais cedo houver suporte nativo para bloquear cookies no HTTP ao usar HTTPS, mais cedo essa mensagem poderá desaparecer e parar de causar problemas. Não é como se os cabeçalhos HTTP adicionais fossem desejados para o conteúdo estático que é veiculado fora da página HTTPS.
Metalshark
2
@ Metalshark: é muito mais do que sobre cookies. Quando você olha para uma página HTTPS, deseja confiar em tudo o que diz. Alguém poderia forjar uma imagem e substituir o que mostra / diz, por exemplo. Você também deseja vincular a scripts confiáveis ​​e não alterados.
de Bruno
0

Eu acho que você precisa esclarecer seu pensamento, porque sua pergunta realmente não faz sentido.

Estático e seguro não são mutuamente exclusivos ou mesmo relacionados entre si. Você pode ter conteúdo estático seguro e conteúdo não estático não seguro. Seguro significa apenas que ele é criptografado (SSL, ou seja, https). Estático significa que não é gerado por solicitação para o cliente. Esses são dois conceitos fundamentalmente diferentes.

Se você não está confundindo sua terminologia, pergunto por que seu servidor seguro não pode veicular conteúdo estático. Meu palpite é que sim, então você só precisa colocar o seu conteúdo estático no servidor seguro e, em seguida, um navegador não reclamará do conteúdo http / https misto, porque todos serão https. Se houver realmente alguma limitação técnica no servidor seguro que impeça a veiculação de conteúdo estático (por exemplo, ele não pode nem servir um arquivo CSS), sim, você deve adicionar SSL ao outro servidor que está usando.

SW
fonte