יש להשתמש בחלונית אבטחה בכלי הפיתוח ל-Chrome כדי לוודא שפרוטוקול HTTPS מוטמע כראוי בדף. במאמר למה HTTPS חשוב מוסבר למה צריך להגן על כל אתר באמצעות HTTPS, גם באתרים שלא מעבדים נתונים רגישים של משתמשים.
פתיחת החלונית 'אבטחה'
החלונית אבטחה היא המקום הראשי בכלי הפיתוח לבדיקת האבטחה של דף.
- פותחים את כלי הפיתוח.
לוחצים על הכרטיסייה אבטחה כדי לפתוח את החלונית אבטחה.
איור 1. חלונית האבטחה
בעיות נפוצות
מקורות ראשיים לא מאובטחים
כשהמקור הראשי של הדף לא מאובטח, בסקירת האבטחה תופיע ההודעה הדף הזה לא מאובטח.
איור 2. דף לא מאובטח
הבעיה הזו נגרמת כאשר כתובת האתר שבה ביקרת התבקשה על ידי HTTP. כדי לאבטח אותו, צריך לבקש אותו ב-HTTPS. לדוגמה, אם מסתכלים על כתובת ה-URL בסרגל הכתובות, סביר להניח שהיא נראית דומה לכתובת http://example.com. כדי לשפר את האבטחה, כתובת ה-URL צריכה להיות https://example.com.
אם כבר הגדרתם HTTPS בשרת, כל מה שצריך לעשות כדי לפתור את הבעיה הוא להגדיר את השרת להפנות את כל בקשות ה-HTTP ל-HTTPS.
אם לא הגדרתם HTTPS בשרת, האפשרות Let's Encrypt מספקת דרך חינמית וקלה יחסית להתחיל את התהליך. לחלופין, ייתכן שכדאי לארח את האתר ב-CDN. כיום, רוב רשתות ה-CDN הגדולות מארחות אתרים ב-HTTPS כברירת מחדל.
טיפ הביקורת Redirect HTTP traffic to HTTPS (הפניה אוטומטית מ-HTTP ל-HTTPS) ב-Lighthouse יכולה לעזור באופן אוטומטי לוודא שכל בקשות ה-HTTP מפנות ל-HTTPS.
תוכן מעורב
המשמעות של תוכן מעורב היא שהמקור הראשי של הדף מאובטח, אבל הדף ביקש משאבים ממקורות לא מאובטחים. דפים עם תוכן מעורב מוגנים באופן חלקי בלבד, מפני שתוכן ה-HTTP נגיש לרחשים וחשוף למתקפות מסוג 'אדם בתווך'.
איור 3. תוכן מעורב
באיור 3 שלמעלה, לחיצה על View 1 request in network (צפייה בבקשות 1 בחלונית רשת) פותחת את החלונית רשת ומפעילה את המסנן mixed-content:displayed כך שיומן הרשת מציג רק משאבים לא מאובטחים.
איור 4. משאבים מעורבים ביומן הרשת
להצגת פרטים
הצגת אישור המקור הראשי
בסקירת האבטחה, לוחצים על הצגת האישור כדי לבדוק במהירות את האישור של המקור הראשי.
איור 5. אישור מקור ראשי
הצגת פרטי המקור
כדי להציג את פרטי המקור, לוחצים על אחת הרשומות בתפריט הניווט הימני. בדף הפרטים אפשר לראות את פרטי החיבור והאישורים. יש גם מידע על שקיפות האישורים, אם יש כזה.
איור 6. פרטי המקור הראשי