如何將鏈接(圖標,...)放入我的網頁以顯示當前的SSL證書信息?顯示/彈出SSL證書信息的最佳方式
最簡單的方法可以把一個鏈接到一些在線網站驗證(第三方或我們自己的),但如果可能的話,內置的彈出瀏覽器信息會很好。
我想強調的SSL安全(如靠近「購買」按鈕),或者當存在涉及幀和/或多個資源,或者它是未知的使用的特定證書,......它是有用的
有辦法做到這一點?
謝謝!
更新:
我不認爲有辦法做到這一點,我不認爲這是一個好主意:訪問有關證書的信息必須在控制用戶,而不是網站。否則,該網站可以聲稱任何想要的東西。此外,鏈接到一個在線驗證器是誤導,因爲該網站可能看起來不同於驗證者,然後從用戶。
除此之外,只是使用SSL表示沒有太多關於該網站的安全性。任何人都可以獲得這樣的證書,並仍然存儲未加密的密碼,寬鬆的信用卡信息,被黑客攻擊或傳播惡意軟件。
我的問題不是關於用戶體驗是關於如何顯示一些信息。不管怎樣,謝謝你。 – josejuan 2014-09-03 16:52:19
頁面上的任何內容都由網站或中間的攻擊者控制。這意味着任何密封件或彈出式設備都只是安全劇院,攻擊者也可以使用它來吸引用戶。我希望從長遠來看,這些印章的感知價值將會消失,甚至可能被視爲(也許是虛假的)網站的自我宣傳,並減少信任。 – 2014-09-04 04:59:48
不,我是一個安全專業人員,非常喜歡安全劇場:)「對我的客觀問題沒有一個客觀的迴應」 - 這可能是因爲其他人也討厭安全劇場,那就是我的意思是「這種密封的感知價值將消失「。 – 2014-09-04 07:48:45
如何將鏈接(圖標,...)放入我的網頁以顯示當前的SSL證書信息?
據我所知沒有這樣的功能,並且在瀏覽器中實現這樣的功能不是一個好主意。
檢查您的用戶和您的網站之間的連接的安全性是不幸的,你不能做任何事情。無論你從事什麼,你最終都會做一個噱頭,最壞的情況是會給用戶一種虛假的安全感,可能會誤導他們去檢查錯誤的東西,並鼓勵攻擊者模仿你試圖顯示的那些信號。
這實際上是一個很基本的安全原則,它只能通過教育用戶來解決(而這正是試圖讓他們檢查錯誤的東西會導致更多的傷害而不是好的)。
引述Iszi from Security.SE:「‘’如果你要問‘是這一行安全’,那麼答案是」沒有
任何你從網站的最終做的是潛在的東西,一個僞造者可以這樣做。
想象一種情況,你確實可以點擊並彈出一個窗口,顯示那裏的網站安全網站。這需要非常細心的用戶不得不尋找真正的瀏覽器對話框和假彈出窗口的標誌。
最終用戶有責任檢查是否使用了HTTPS並且使用正確。
這是一個更普遍的安全問題,實際上並不特定於計算。如果一個顧客走進一家假銀行冒充合法銀行的名稱來存款,合法銀行無法對此做任何事情。只有用戶能夠在進入建築物時進行所需的驗證。
從安全角度來看,您試圖顯示的信息不應該由您訪問的網站控制演示文稿。這些驗證具有由瀏覽器本身完成,以供它們使用,否則它們將很容易僞造。
混淆來自瀏覽器的內容和來自網站的內容的用戶界面通常對安全性不利。 (這就是爲什麼full screen mechanisms必須具有瀏覽器特定的UI組件,不能被該網站僞造,否則它們會帶來安全風險。)
您可以做的下一個最好的事情是嘗試教育您的用戶一般:例如show是一個快速教程,向用戶解釋如何在瀏覽器中檢查證書。如果有實際的攻擊,這並不會有所幫助,但它可以幫助長遠。這是銀行使用的策略,當他們不斷告訴你「永遠不要將你的PIN碼或密碼給任何人,我們的員工也不會要求他們」:這只是鼓勵用戶在有人聲稱有一天會成爲員工試圖獲得這些細節。銀行將無法在用戶和假銀行員工之間做任何事情(因爲它甚至不會在那裏),但至少它會試圖提前教育用戶。
從一個用戶的角度來看,能夠評估該連接的安全程度可以是一個棘手的鍛鍊,並不總是在用戶界面的變化幫助。您提到的其他類似系統是許多CA提供的外部安全封條。不幸的是,他們也不是一個好主意......
另一方面......「提供了一種查看與頁面關聯的證書的方法」當然嗎?你有沒有試過我的例子? (例如在Firefox上)
讓我們嘗試一下你的例子。無需嘗試page you link to上的表格,我們可以看到這樣的印章,因爲它位於該頁面的底部。有一個標有「... Secured,powered by ...」的標誌,其中link to a certificate verification service顯示的信息看起來令人放心,例如「該網站可以使用SSL證書保護您的私人信息與以https開頭的任何地址交換的信息在傳輸前使用SSL進行加密「。
這一切看起來不錯。
現在,首先,我在頁面上獲得了純HTTP封裝,所以在頁面本身當然不能證明任何內容。讓我們假裝所有用戶都明白,只有在同一主機名上使用https://的頁面纔會受到該封印的保護。
當用戶的瀏覽器(U)連接到站點(S)時,它會得到一個證書(CS_from_U):這是用戶想要驗證的證書。
當用戶的瀏覽器連接到托拉斯信息站點(T)時,該系統顯示它已經能夠獲得的證書(CS_from_T),但瀏覽器未發送任何關於它所見證書的信息(CS_from_U)到T.
從U到S(使用CS_from_U),從U到T的連接以及從T到S(使用CS_from_T)的連接是三個不同的連接。
什麼T告訴U關於證書實際上是關於CS_from_T,合法證書。 U和S之間可能存在一個MITM攻擊,使CS_from_U成爲與CS_from_T不同的證書(實際上,有些webfarms有時也使用不同的證書,而無需攻擊)。
當然,非法的CS_from_U證書仍然必須由用戶瀏覽器信任的東西發佈,但這可能會發生在手動例外,公司MITM代理或另一個犯了錯誤的CA上。
實際上,這種印章驗證並不能證明用戶看到的證書太多。它主要證明合法服務器確實已從該CA購買了證書。它當然不能證明另一個證書不是由另一個CA發佈的,或者證明當時用戶看到的證書是CA合法發佈的證書。
當然,風險的可能性很難評估。攻擊者的難點在於能夠執行該MITM攻擊並擁有將被用戶信任的證書(例如來自流氓CA),這是希望不太可能的。在那個階段,密封驗證員顯示的是完全不相關的。
最後,印章標誌主要爲用戶提供了安全感,因爲它檢查的內容假定它顯示的內容沒有被篡改。任何假設沒有問題的邏輯推理都可以得出確實沒有問題的結論。
另一方面,this particular seal大於證書:它有一個惡意軟件掃描和漏洞評估部分,這通常是一件好事。我不確定是否有其他的CA,但這種服務可以有用。
我並不想詆譭一般的CA系統,而且我對本例中使用的特定CA沒有任何反應。 CA系統充滿了不完善之處,但很難提出通用的更好的解決方案。我想指出的是,這種密封系統對於證書沒有真正的安全性。然而,這種印章所做的是向每個客戶的訪客宣傳CA,因此他們有告訴人們使用這些信息的既得利益。
總之:
如果你的動機這樣做是爲了幫助用戶從安全的角度來看,你能做的最好的事情就是去教育他們。爲了防止UI元素被僞造,這些驗證具有由用戶發起並且通過瀏覽器而不是網站完成。
如果不是或者除此之外,還必須通過盒子勾選練習並顯示一些看起來很漂亮的符號(可能是由於商業壓力),只需粘貼已獲得的印章從您的網頁上的CA獲得。
在最後3段中更直接地回答你想要的內容。 「*混淆來自瀏覽器的內容和來自網站的內容的用戶界面通常對安全性不利[...] *」。更直接的一點是:AFAIK這是不可能的,如果是這樣的話,那麼瀏覽器實現者需要非常仔細地完成它,這樣一個假彈出窗口就不會與真實窗口混淆。不幸的是,實施這個會增加這種風險。 – Bruno 2014-09-04 11:58:02
您真的很遠,您的解決方案是一個教程? XD XD(也可以破解?:P)。沒有提到框架/資源問題? (如何輕鬆向用戶顯示相關證書**)。 ** ONE USER **正在網址列**上觀看一個認證提供者(例如GeoTrust),但**來自** OTHER **(例如賽門鐵克)的內聯框架(和/或資源)。我想看你的教程... – josejuan 2014-09-04 12:03:13
這正是我所說的:沒有解決好你的問題的好辦法,因爲只有用戶可以驗證瀏覽器看到的證書並啓動這個動作。 – Bruno 2014-09-04 12:05:47
這樣的流行音樂最多是無用的,最壞的情況是誤導。正如Steffen Ullrich所說,瀏覽器需要顯示安全信息,只有它可以驗證。假設網頁本身知道提供服務的證書的任何內容,只會引起用戶的混淆,因爲它根本沒有任何證據。 – Bruno 2014-09-03 20:46:14
@布魯諾,許多網站以某種方式提供信息,例如。 ebay show *兩個帶有經過認證的SSL驗證的圖標(來自TRUSTe和Norton),並可能被網站「僞造」。我不問你是否同意我的觀點,只要能夠做到。 Steffen的迴應並不是一個解決方案,只有他們的意見(但你當然可以upvote)。 – josejuan 2014-09-03 21:01:36
我知道,我只是說這是由CA出售的純粹煙霧和鏡子。沒有任何好處。由於顯然很容易僞造,所以它也可能具有很大的破壞性。 – Bruno 2014-09-03 21:05:05