¿Cómo trato con los navegadores quejándose de que mi sitio web MediaWiki tiene recursos no seguros? [cerrado]

Navega tus respuestas
2

Hace poco compré una suscripción a un plan de alojamiento compartido de NameCheap y planeo ejecutar principalmente MediaWiki en él. He logrado configurar todo bien excepto el cifrado SSL. Cuando visito mi sitio web ( enlace ), mi navegador Chrome me dice que mi sitio web está verificado por "Validación de dominio COMODO RSA segura Servidor CA ", pero también me dice que hay" otros recursos que son inseguros ". Básicamente, mi pregunta es: "¿Qué hago para que Google Chrome y otros navegadores web digan que mi sitio web es 100% seguro?"

Sé que el certificado está verificado, pero en esencia, no estoy seguro de qué más hacer en esta situación. Tal vez alguien podría explicar lo que Chrome quiere decir con "otros recursos inseguros"?

Editar: Revisé LocalSettings.php y vi que la variable $ wgServer se configuró en enlace , así que No creo que haya un problema allí. Buena suposición sin embargo!

    
pregunta Marcelo 20.05.2015 - 00:43
fuente

3 respuestas

2

¿Qué está mal?

La advertencia que está obteniendo es sobre el "Modo mixto", que es básicamente cuando algunas partes de un sitio se envían a través de HTTPS y otras se envían a través de HTTP.

Algunas personas consideran que esto no es importante porque "los datos importantes están encriptados" y, aunque en cierto sentido, son correctos, aún puede ser un riesgo para la seguridad. El navegador generalmente lo marca por dos razones:

  1. Conduce a una falsa sensación de seguridad, ves HTTPS y piensas que "todo está cifrado" pero no está todo cifrado y el navegador no sabe qué es importante y qué no.
  2. Todavía puede permitir que las personas con acceso Man-in-the-Middle inyecten contenido y cambien el sitio.

¿Cómo solucionarlo?

Personalmente, encuentro FireFox muy útil aquí 1 si carga la página en FireFox y presiona F12 para abrir las Herramientas para desarrolladores. Luego, vaya a la consola, le mostrará cualquier error al cargar la página.

En este caso, hay dos archivos /w/images/background-normal.png y /favicon.ico que se cargan a través de http. Puede cambiarlos editando su MediaWiki para cargarlos a través de HTTPS todo el tiempo colocando la url completa incluyendo el https:// o hacer que sean enlaces relativos (por ejemplo, solo un enlace a /w/images/background-normal.png ) y se cargará sobre cualquier protocolo. del sitio está utilizando.

  1. Cuando dices que estás usando Chrome, asumo que puede hacer lo mismo, pero no estoy seguro de dónde mirar.
respondido por el Hybrid 20.05.2015 - 05:33
fuente
2

(Se movió de un comentario a una respuesta)

En Firefox, encontré 2 Advertencias de seguridad en la consola: 

Loading mixed (insecure) display content "http://julian.referata.com/w/images/background-normal.png" on a secure page
Loading mixed (insecure) display content "http://juliancubillos.com/favicon.ico" on a secure page

Lo más probable es que sean la razón por la que se muestra una señal de advertencia, ya que la página está cargando contenido de un protocolo HTTP no seguro.

    
respondido por el nhahtdh 20.05.2015 - 05:21
fuente
2

Acabo de hacer una pequeña auditoría si su sitio, aquí están mis conclusiones.

  • informe de prueba de ssllabs grado A que es bueno
  • un curl -vvv https://www.jcwiki.website/wiki/Main_Page | grep "http:" no produjo resultados, también es bueno.
  • Al abrir el sitio en Google Chrome (versión 42.0.2311.152) la ventana de incógnito produce una advertencia de contenido mixto. Revisé las herramientas de desarrollo y la razón es que una solicitud para ' enlace 'da como resultado una redirección a la variante http. Las páginas HTTPS deben cargar TODO sobre HTTPS. (Ergo chrome se queja).

puede ver el error en acción a través del siguiente comando de curvatura

curl 'https://www.jcwiki.website/w/load.php?debug=false&lang=en&modules=mediawiki.legacy.commonPrint%2Cshared%7Cmediawiki.skinning.interface%7Cmediawiki.ui.button%7Cskins.vector.styles&only=styles&skin=vector&*' -H 'Pragma: no-cache' -H 'Accept-Encoding: gzip, deflate, sdch' -H 'Accept-Language: en-US,en;q=0.8' -H 'User-Agent: Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.152 Safari/537.36' -H 'Accept: text/css,*/*;q=0.1' -H 'Referer: http://www.jcwiki.website/wiki/Main_Page' -H 'Connection: keep-alive' -H 'Cache-Control: no-cache' --compressed -vvv

Después de un poco más de investigación, sospecho que la variable $wgServer en LocalSettings.php no está configurada correctamente. fuente

Veo que estás usando apache para alojar tu sitio, puedes usar este fragmento de vhost para redireccionar http a https en apache: <VirtualHost *:80> ServerName mysite.example.com DocumentRoot /usr/local/apache2/htdocs Redirect permanent /secure https://mysite.example.com/secure </VirtualHost>

Source y Source 2 para utilizar reescribir

    
respondido por el LvB 20.05.2015 - 02:04
fuente

Lea otras preguntas en las etiquetas

¿Pueden los servidores almacenar la dirección mac de la computadora en el lado del servidor para evitar el secuestro de sesiones? ¿Por qué Telegram no usa el cifrado de extremo a extremo? [cerrado]