Bezpieczeństwo: informacje o problemach z zabezpieczeniami

Kayce Basques
Kayce Basques
Twitter GitHub Usterka

Skorzystaj z panelu Zabezpieczenia w Narzędziach deweloperskich w Chrome, aby sprawdzić, czy protokół HTTPS jest prawidłowo wdrożony na stronie. Przeczytaj artykuł Dlaczego HTTPS jest ważny, aby dowiedzieć się, dlaczego każda witryna powinna być chroniona za pomocą protokołu HTTPS, nawet jeśli nie przetwarzają one poufnych danych użytkownika.

Otwieranie panelu bezpieczeństwa

Panel Zabezpieczenia to główne miejsce w Narzędziach deweloperskich, które służy do sprawdzania bezpieczeństwa strony.

  1. Otwórz Narzędzia deweloperskie.

  2. Kliknij kartę Zabezpieczenia, aby otworzyć panel Zabezpieczenia.

    Panel bezpieczeństwa

    Rysunek 1. Panel bezpieczeństwa

Typowe problemy

Główne niezabezpieczone źródła

Gdy główne źródło strony nie jest bezpieczne, w sekcji Przegląd zabezpieczeń wyświetla się komunikat Ta strona nie jest zabezpieczona.

Niezabezpieczona strona

Rysunek 2. Niezabezpieczona strona

Ten problem występuje, jeśli odwiedzonego adresu URL zażądano za pośrednictwem protokołu HTTP. Aby było zabezpieczone, musisz używać go przez HTTPS. Jeśli np. widzisz adres URL na pasku adresu, prawdopodobnie wygląda on podobnie do adresu http://example.com. Aby był bezpieczny, adres URL powinien mieć postać https://example.com.

Jeśli na Twoim serwerze jest już skonfigurowany protokół HTTPS, wystarczy, że skonfigurujesz go tak, aby przekierowywał wszystkie żądania HTTP do HTTPS, aby rozwiązać ten problem.

Jeśli na serwerze nie masz skonfigurowanego protokołu HTTPS, Let's Encrypt umożliwia bezpłatne i stosunkowo łatwe rozpoczęcie tego procesu. Możesz też hostować swoją witrynę w sieci CDN. Obecnie większość głównych sieci CDN hostuje witryny za pomocą protokołu HTTPS.

Wskazówka: audyt Przekieruj ruch HTTP do HTTPS w Lighthouse może pomóc zautomatyzować proces pilnowania, aby wszystkie żądania HTTP były przekierowywane do HTTPS.

Treść mieszana

Treść mieszana oznacza, że główne źródło strony jest zabezpieczone, ale strona żądała zasobów z niezabezpieczonych źródeł. Strony z treścią o mieszanym charakterze są tylko częściowo chronione, ponieważ treść HTTP jest dostępna dla snifferów i podatna na ataki typu „man in the middle”.

Treść mieszana

Rysunek 3. Treść mieszana

Na Rys. 3 powyżej kliknięcie Wyświetl 1 żądanie w panelu Sieć otwiera panel Sieć i stosuje filtr mixed-content:displayed, aby w dzienniku sieciowym były widoczne tylko niezabezpieczone zasoby.

Zasoby mieszane w logu sieci

Rysunek 4. Zasoby mieszane w logu sieci

Wyświetl szczegóły

Wyświetl certyfikat głównego źródła

W sekcji Przegląd zabezpieczeń kliknij Wyświetl certyfikat, aby szybko sprawdzić certyfikat głównego źródła.

Certyfikat głównego źródła

Rysunek 5. Certyfikat głównego źródła

Wyświetl szczegóły punktu początkowego

Kliknij jeden z wpisów w panelu nawigacyjnym po lewej stronie, aby wyświetlić szczegóły źródła. Na stronie szczegółów możesz wyświetlić informacje o połączeniu i certyfikacie. Informacje o przejrzystości certyfikatu są też wyświetlane, jeśli są dostępne.

Szczegóły głównego punktu początkowego

Rysunek 6. Szczegóły głównego punktu początkowego