Apache a https problem

Dan Lukes dan at obluda.cz
Wed Nov 18 00:09:19 CET 2009


Gabriel napsal/wrote, On 11/17/09 23:20:
> Mam na svojom serveri webstranku, ktora pouziva niektore casti (obrazky, 
> linky, texty, ...) z inej webovej stranky (mimo moju kontrolu). Ak 
> pristupujem na svoju webovku cez https, hlasi to:
> "Do you want to view only the webpage content that was delivered securely?"
> kedze externe data nie je mozne ziskat cez https, iba cestou http.


To neni programatorsky ani konfiguracni ale filosoficky problem.

HTTPS je zpusob, jak uzivateli zajistit, ze vidi duveryhodny 
nemodifikovany vzhled nejake stranky - bez toho, ze by jeji vyzneni mohl 
pozmenit nejaky utocnik.


Jakmile bys do HTTPS stranky vlozil komponenty, ktere stejnou uroven 
nemaji (nezabezpeceny podvrzeny JavaScript dokaze prepsat cele rozsahle 
kusy stranek, ale u sikovne zvoleny vlozeny obrazek dokaze uzivatele 
uvest v umyl) pak je proste neduveryhodna cela zobrazena stranka a nema 
a nemuze mit "bezpecny" statut.

Ano, nektere prohlizece mohou dovolit zobrazenui i takove podezrele 
stranky - a to bud' bez "nebezpecnych" soucasti nebo treba i celou, ale 
s tim, ze stranka mohla byt jako celek pozmenena (tedy stejne, jako by 
HTTPS vubec nebyla).

To co chces je proste neco, s cim koncept HTTPS vubec nepocita.

Jestli jsi ochoten za cizi obsah dat ruku do ohne, pak si ho (zpusobem, 
ktery sam uznas za vhodne) ze vzdaleneho serveru stahni a uzivateli ho 
poskytni od sebe pres HTTPS - se svym podpisem a garanci bezpecnosti.

						Dan



More information about the Users-l mailing list