¿Por qué "www." se considera inseguro en esta URL de HTTPS?

Navega tus respuestas
23

Estaba haciendo algunas solicitudes de origen cruzado a oEmbed de Soundcloud y noté un comportamiento extraño. < br> Al hacer una solicitud desde mi localhost, que está en una conexión HTTP normal, todo funcionó bien. Sin embargo, cuando el código se insertó en nuestro servidor de prueba HTTPS, recibí el siguiente error de mi navegador:

  

[bloqueado] La página en   Se cargó ' enlace '   HTTPS, pero corrió contenido inseguro de    enlace : este contenido   También debe cargarse a través de HTTPS.

La URL de solicitud es //www.soundcloud.com/oembed?url=https://soundcloud.com/gwatsky/pumped-up-kicks-remix&format=js&callback=JSON_CALLBACK . Tenga en cuenta la " www. ".

Intenté especificar el protocolo a HTTPS y eliminar / especificar el protocolo en el parámetro url , pero seguí recibiendo el error.

Al final, eliminé www. de la URL y todo comenzó a funcionar bien.

tl; dr ¿Por qué tener www. en esta URL de HTTPS se considera un riesgo de seguridad?

    
pregunta Jon Snow 24.08.2014 - 08:50
fuente

3 respuestas

88

Creo que estás haciendo una gran suposición con tu pregunta:

  

¿Por qué Chrome considera el "www"? en una url HTTPS como un riesgo de seguridad?

ya que esto simplemente no es el caso.

Lo que está sucediendo es que SoundCloud está forzando a los usuarios de www.soundcloud.com a soundcloud.com con una redirección 301. El problema es que están redirigiendo todo el tráfico a http://soundcloud.com independientemente del protocolo de origen.

Esto es simplemente un problema de configuración con el sitio web de Soundcloud y no tiene nada que ver con el navegador o los estándares de seguridad web. No existe ningún riesgo inherente con el subdominio www para un sitio web.

La solución que ya ha descubierto es eliminar www para evitar el redireccionamiento. Es posible que desee informar a los administradores del sitio sobre el problema si así lo desea.

    
respondido por el David Houde 24.08.2014 - 08:56
fuente
15

Su navegador muestra esta advertencia porque Sound Cloud aparentemente tiene una redirección configurada incorrectamente para la siguiente URL:

  

enlace

redirige a:

  

enlace

Observe el "http" normal. Esta es la razón por la que el navegador está activando una bandera roja cuando está incrustado dentro de otra página / sitio web basado en https. Considerando que,

  

enlace

no se está redirigiendo y, por lo tanto, permanece en el lado seguro de http.

    
respondido por el Sawant 25.08.2014 - 13:45
fuente
0

La observación y el comportamiento son correctos, pero la conclusión es incorrecta. El certificado SSL se emite de dos maneras

  1. Al sitio. En su caso soundcloud.com. Según la convención de nombres, soundcloud.com y www.soundcloud.com son dos nombres diferentes. Por lo tanto, el sitio https al que se accedió con www.soundcloud.com, negó haber dicho que el certificado no se emitió a www.soundcloud.com. Esto no significa que haya un problema o que no sea seguro. Los datos aún están pasando por la capa SSL y proporcionan la misma protección cuando se accede a través de soundcloud.com.

  2. En los sitios corporativos, el certificado se emite a los dominios comodín. Pero los certificados de comodines son muy caros y, por lo tanto, la mayoría de los clientes evitan ir con comodines. En caso de comodín, el certificado se emite a * .domain. En su caso, si el certificado se emite como * .soundcloud.com, entonces www.soundcloud.com o soundcloud.com funcionarán. incluso w3.soundcloud.com anything.soundcloud.com también funcionará.

Aprecio que hayas traído un tema muy bueno para la discusión, pero uno necesita entender todo el certificado SSL, el dominio, el comportamiento de los nombres en este caso.

Muchas veces, la configuración incorrecta de la cadena de certificados raíz en el servidor también genera errores.

    
respondido por el Nishant Kulkarni 26.08.2014 - 05:43
fuente

Lea otras preguntas en las etiquetas

¿Encontrar la ubicación del usuario de IM a través de netstat? Si sabemos que CAPTCHA puede ser vencido, ¿por qué los seguimos usando?