我在一家公司工作,我们都有一个员工登录系统,其 URL 如下图所示。(对不起,我不能透露完整的 URL。)
我认为“不安全”与 SSL 证书或类似的东西有关,但在单击“查看站点信息”后,我得到了这个:
我手动阻止了 Flash,但不知道 cookie 可以做什么,而且如果可能的话,我不能冒险在公司网站上这样做。
我有几个问题:
“不安全”到底是什么意思?这是否意味着它是一个“仅限 HTTP”的网站?
网站“不安全”的所有可能原因是什么?
有一个“不安全”的帐户登录网站可以吗?
cookie 是否与不安全的网站有关?
有哪些可能的方法来确保本网站的安全?我如何通知负责确保本网站安全的人员?
不安全到底是什么意思?这是否意味着仅 HTTP 网站?
Chrome 中的“不安全”表示该站点未使用 HTTPS。
网站不安全的所有可能原因是什么?
要得到上面的确切错误,它只是在站点不使用 HTTPS 时。但是,如果站点的证书无效或整个页面上没有 HTTPS,您可能会收到类似的不安全错误。
是否可以将帐户登录站点设置为不安全?
不,这不行 - 如果有人可以拦截登录请求,他们可以看到用户的登录凭据。IBBoard在评论中提出了一个很好的观点——在内部公司网络上拥有一个没有 HTTPS 的登录站点并不像它是一个可以从您的家用 PC 访问它的公共站点那样危险。它仍然不安全,但唯一能真正 MiTM 连接的人是公司系统管理员(假设网络设置正确)。
Cookies 是否与网站不安全有关?
如果该站点未使用 HTTPS,这意味着 cookie 是以明文形式发送的。当 cookie 包含敏感数据(例如令牌)时,这可能会导致问题,从而导致会话劫持。
有哪些可能的方法可以使本网站安全?我如何通知负责人使其安全?
通过使用带有有效证书的 HTTPS,Chrome 会将网站标记为“安全”。然而,正如Edu所说,即使一个具有有效证书的网站也提供非安全内容(例如 HTTP 图像),也可能是不安全的。混合内容(在 HTTPS 页面中有 HTTP 项目)被认为是不安全的。如果您担心此登录站点的安全性,我会向 IT 部门表达您的担忧,看看他们能做些什么。
是的,目前有一些关于哪些使用 http 的网站会显示为不安全的规则,这些规则可在此处获得。
有 2 个主要选项:
准确地说:“不安全”是指您与服务器的连接,不一定是服务器本身。可能是服务器提供了http和https连接。理想情况下,它会将任何 http 访问重定向到 https。如果不是,您需要在 URL 中明确指定https:协议。在这种情况下,请与您的 sysAdm 交谈。