Безопасность: понимание проблем безопасности.

Кейси Баски

Используйте панель «Безопасность» в Chrome DevTools, чтобы убедиться, что HTTPS правильно реализован на странице. См . раздел «Почему HTTPS важен» , чтобы узнать, почему каждый веб-сайт должен быть защищен с помощью HTTPS, даже сайты, которые не обрабатывают конфиденциальные пользовательские данные.

Обзор

Панель «Безопасность» — это основное место в DevTools для проверки безопасности страницы. Панель «Безопасность» дает вам обзор происхождения вашей страницы, включая предупреждения безопасности HTTP, сведения об источнике и сертификаты.

Откройте панель безопасности

Чтобы открыть панель «Безопасность» , выполните следующие действия:

  1. Откройте Инструменты разработчика .
  2. Откройте командное меню, нажав:
    • macOS: Command + Shift + P
    • Windows, Linux, ChromeOS: Control + Shift + P.

  3. Начните вводить security , выберите «Показать панель безопасности» и нажмите Enter .

    Панель безопасности.

    Рисунок 1 . Панель «Безопасность»

Либо в правом верхнем углу выберите more_vert Дополнительные параметры > Дополнительные инструменты > Безопасность .

Распространенные проблемы

Незащищенные основные источники

Если основной источник страницы небезопасен, в обзоре безопасности отображается сообщение «Эта страница не защищена» .

Незащищенная страница

Рисунок 2 . Незащищенная страница

Эта проблема возникает, когда URL-адрес, который вы посетили, был запрошен по HTTP. Чтобы обеспечить безопасность, вам необходимо запросить его через HTTPS. Например, если вы посмотрите на URL-адрес в адресной строке, он, вероятно, будет выглядеть примерно так: http://example.com . Чтобы обеспечить безопасность, URL-адрес должен быть https://example.com .

Если на вашем сервере уже настроен HTTPS, все, что вам нужно сделать, чтобы решить эту проблему, — это настроить сервер на перенаправление всех HTTP-запросов на HTTPS.

Если на вашем сервере не настроен HTTPS, Let’s Encrypt предоставляет бесплатный и относительно простой способ запустить процесс. Или вы можете рассмотреть возможность размещения своего сайта на CDN. Большинство крупных CDN теперь по умолчанию размещают сайты на HTTPS.

Смешанный контент

Смешанное содержимое означает, что основной источник страницы является безопасным, но страница запрашивает ресурсы из незащищенного источника. Страницы со смешанным контентом защищены лишь частично, поскольку HTTP-контент доступен анализаторам и уязвим для атак «человек посередине».

Смешанный контент.

Рисунок 3 . Смешанный контент

На рис. 3 нажатие кнопки «Просмотреть 1 запрос» на панели «Сеть» открывает панель «Сеть» и применяет фильтр mixed-content:displayed , чтобы в сетевом журнале отображались только незащищенные ресурсы.

Смешанные ресурсы в сетевом журнале.

Рисунок 4 . Смешанные ресурсы в сетевом журнале

Посмотреть детали

Посмотреть основной сертификат происхождения

В обзоре безопасности нажмите «Просмотреть сертификат», чтобы быстро проверить сертификат основного источника.

Основной сертификат происхождения.

Рисунок 5 . Основной сертификат происхождения

Посмотреть детали происхождения

Щелкните одну из записей в левой навигационной панели, чтобы просмотреть сведения об источнике. На странице сведений вы можете просмотреть информацию о соединении и сертификате. Информация о прозрачности сертификата также отображается, если она доступна.

Основные сведения о происхождении.

Рисунок 6 . Основные сведения о происхождении

,

Кейси Баски

Используйте панель «Безопасность» в Chrome DevTools, чтобы убедиться, что HTTPS правильно реализован на странице. См . раздел «Почему HTTPS важен» , чтобы узнать, почему каждый веб-сайт должен быть защищен с помощью HTTPS, даже сайты, которые не обрабатывают конфиденциальные пользовательские данные.

Обзор

Панель «Безопасность» — это основное место в DevTools для проверки безопасности страницы. Панель «Безопасность» предоставляет вам обзор происхождения вашей страницы, включая предупреждения безопасности HTTP, сведения об источнике и сертификаты.

Откройте панель безопасности

Чтобы открыть панель «Безопасность» , выполните следующие действия:

  1. Откройте Инструменты разработчика .
  2. Откройте командное меню, нажав:
    • macOS: Command + Shift + P
    • Windows, Linux, ChromeOS: Control + Shift + P.

  3. Начните вводить security , выберите «Показать панель безопасности» и нажмите Enter .

    Панель безопасности.

    Рисунок 1 . Панель «Безопасность»

Либо в правом верхнем углу выберите more_vert Дополнительные параметры > Дополнительные инструменты > Безопасность .

Распространенные проблемы

Незащищенные основные источники

Если основной источник страницы небезопасен, в обзоре безопасности отображается сообщение «Эта страница не защищена» .

Незащищенная страница

Рисунок 2 . Незащищенная страница

Эта проблема возникает, когда URL-адрес, который вы посетили, был запрошен по HTTP. Чтобы обеспечить безопасность, вам необходимо запросить его через HTTPS. Например, если вы посмотрите на URL-адрес в адресной строке, он, вероятно, будет выглядеть примерно так: http://example.com . Чтобы обеспечить безопасность, URL-адрес должен быть https://example.com .

Если на вашем сервере уже настроен HTTPS, все, что вам нужно сделать, чтобы решить эту проблему, — это настроить сервер на перенаправление всех HTTP-запросов на HTTPS.

Если на вашем сервере не настроен HTTPS, Let’s Encrypt предоставляет бесплатный и относительно простой способ запустить процесс. Или вы можете рассмотреть возможность размещения своего сайта на CDN. Большинство крупных CDN теперь по умолчанию размещают сайты на HTTPS.

Смешанный контент

Смешанное содержимое означает, что основной источник страницы является безопасным, но страница запрашивает ресурсы из незащищенного источника. Страницы со смешанным контентом защищены лишь частично, поскольку HTTP-контент доступен анализаторам и уязвим для атак типа «человек посередине».

Смешанный контент.

Рисунок 3 . Смешанный контент

На рис. 3 нажатие кнопки «Просмотреть 1 запрос» на панели «Сеть» открывает панель «Сеть» и применяет фильтр mixed-content:displayed , чтобы в сетевом журнале отображались только незащищенные ресурсы.

Смешанные ресурсы в сетевом журнале.

Рисунок 4 . Смешанные ресурсы в сетевом журнале

Посмотреть детали

Посмотреть основной сертификат происхождения

В обзоре безопасности нажмите «Просмотреть сертификат», чтобы быстро проверить сертификат основного источника.

Основной сертификат происхождения.

Рисунок 5 . Основной сертификат происхождения

Посмотреть детали происхождения

Щелкните одну из записей в левой навигационной панели, чтобы просмотреть сведения об источнике. На странице сведений вы можете просмотреть информацию о соединении и сертификате. Информация о прозрачности сертификата также отображается, если она доступна.

Основные сведения о происхождении.

Рисунок 6 . Основные сведения о происхождении