Apache a https problem
Dan Lukes
dan at obluda.cz
Wed Nov 18 00:09:19 CET 2009
Gabriel napsal/wrote, On 11/17/09 23:20:
> Mam na svojom serveri webstranku, ktora pouziva niektore casti (obrazky,
> linky, texty, ...) z inej webovej stranky (mimo moju kontrolu). Ak
> pristupujem na svoju webovku cez https, hlasi to:
> "Do you want to view only the webpage content that was delivered securely?"
> kedze externe data nie je mozne ziskat cez https, iba cestou http.
To neni programatorsky ani konfiguracni ale filosoficky problem.
HTTPS je zpusob, jak uzivateli zajistit, ze vidi duveryhodny
nemodifikovany vzhled nejake stranky - bez toho, ze by jeji vyzneni mohl
pozmenit nejaky utocnik.
Jakmile bys do HTTPS stranky vlozil komponenty, ktere stejnou uroven
nemaji (nezabezpeceny podvrzeny JavaScript dokaze prepsat cele rozsahle
kusy stranek, ale u sikovne zvoleny vlozeny obrazek dokaze uzivatele
uvest v umyl) pak je proste neduveryhodna cela zobrazena stranka a nema
a nemuze mit "bezpecny" statut.
Ano, nektere prohlizece mohou dovolit zobrazenui i takove podezrele
stranky - a to bud' bez "nebezpecnych" soucasti nebo treba i celou, ale
s tim, ze stranka mohla byt jako celek pozmenena (tedy stejne, jako by
HTTPS vubec nebyla).
To co chces je proste neco, s cim koncept HTTPS vubec nepocita.
Jestli jsi ochoten za cizi obsah dat ruku do ohne, pak si ho (zpusobem,
ktery sam uznas za vhodne) ze vzdaleneho serveru stahni a uzivateli ho
poskytni od sebe pres HTTPS - se svym podpisem a garanci bezpecnosti.
Dan
More information about the Users-l
mailing list