Czy użycie „badidea” lub „thisisunsafe” do ominięcia błędu certyfikatu Chrome / HSTS dotyczy tylko bieżącej witryny? [Zamknięte]

Question 1

Czasami, a szczególnie bardzo często, podczas tworzenia aplikacji internetowej, Chrome nie pozwala na odwiedzanie niektórych witryn i generowanie błędu certyfikatu / HSTS. Zauważyłem, że pisanie badidea(ostatnio thisisunsafe) w oknie przeglądarki Chrome spowoduje, że Chrome pominie weryfikację certyfikatu.

Czy to rozwiązanie działa tylko w przypadku określonej witryny, czy też Chrome zignoruje błędy certyfikatów / HSTS dla wszystkich witryn po użyciu tego słowa kluczowego?

Question 2

Jest to specyficzne dla każdej witryny. Jeśli więc wpiszesz to raz, przejdziesz tylko przez tę witrynę, a wszystkie inne witryny będą potrzebować podobnego typu.

Jest również zapamiętywany dla tej strony i trzeba kliknąć na kłódkę, aby ją zresetować (aby można było wpisać ją ponownie):

Nie trzeba dodawać, że użycie tej „funkcji” jest złym pomysłem i niebezpiecznym - stąd nazwa.

Powinieneś dowiedzieć się, dlaczego witryna wyświetla błąd i / lub przestać go używać, dopóki go nie naprawią. HSTS specjalnie dodaje zabezpieczenia dla złych certyfikatów, aby zapobiec klikaniu przez nie. Fakt, że jest to potrzebne, sugeruje, że jest coś nie tak z połączeniem https - na przykład witryna lub połączenie z nią zostały zhakowane.

Programiści Chrome również okresowo to zmieniają. Niedawno zmienili go z badideana, thisisunsafewięc wszyscy używający badideanagle przestali go używać. Nie powinieneś na tym polegać. Jak zauważył Steffen w komentarzach poniżej, jest on dostępny w kodzie, gdyby ponownie się zmienił, chociaż teraz kodują go base64, aby uczynić go bardziej niejasnym. Ostatnim razem, gdy zmienili, umieścili ten komentarz w zatwierdzeniu :

Obróć słowo kluczowe obejścia pełnoekranowego

Słowo kluczowe obejścia zabezpieczeń śródmiąższowych nie zmieniło się od dwóch lat, a świadomość istnienia obejścia wzrosła na blogach i w mediach społecznościowych. Obróć słowo kluczowe, aby zapobiec niewłaściwemu użyciu.

Myślę, że przesłanie od zespołu Chrome jest jasne - nie powinieneś go używać. Nie zdziwiłbym się, gdyby w przyszłości całkowicie go usunęli.

Jeśli używasz tego, gdy używasz certyfikatu z podpisem własnym do testów lokalnych, dlaczego nie dodać certyfikatu certyfikatu z podpisem własnym do magazynu certyfikatów komputera, aby uzyskać zieloną kłódkę i nie musisz tego wpisywać? Uwaga: Chrome nalega na SANpole w certyfikatach, więc jeśli użyjesz tylko starego subjectpola, nawet dodanie go do magazynu certyfikatów nie spowoduje powstania zielonej kłódki.

Jeśli pozostawisz certyfikat jako niezaufany, pewne rzeczy nie będą działać. Na przykład buforowanie jest całkowicie ignorowane w przypadku niezaufanych certyfikatów . Podobnie jak HTTP / 2 Push .

HTTPS jest tutaj, aby pozostać i musimy przyzwyczaić się do prawidłowego korzystania z niego - i nie omijać ostrzeżeń za pomocą hackowania, który może się zmienić i nie działa tak samo jak pełne rozwiązanie HTTPS.

Question 3

Jestem programistą PHP i aby móc pracować w swoim środowisku programistycznym z certyfikatem, mogłem zrobić to samo, znajdując prawdziwy certyfikat SSL HTTPS / HTTP i usuwając go.

Kroki są następujące:

W pasku adresu wpisz „chrome: // net-internals / # hsts”.
Wpisz nazwę domeny w polu tekstowym poniżej „Usuń domenę”.
Kliknij przycisk „Usuń”.
Wpisz nazwę domeny w polu tekstowym poniżej „Zapytanie o domenę”.
Kliknij przycisk „Zapytanie”.
Twoja odpowiedź powinna brzmieć „Nie znaleziono”.

Więcej informacji można znaleźć pod adresem : http://classically.me/blogs/how-clear-hsts-settings-major-browsers

Chociaż to rozwiązanie nie jest najlepsze, Chrome obecnie nie ma na razie dobrego rozwiązania. Eskalowałem tę sytuację wraz z zespołem pomocy, aby poprawić komfort użytkowania.

Edycja: musisz powtarzać kroki za każdym razem, gdy wchodzisz na zakład produkcyjny.

Question 4

Błędy SSL są często generowane przez oprogramowanie do zarządzania siecią, takie jak Cyberroam.

Odpowiedzieć na Twoje pytanie,

Państwo będzie musiał wprowadzić badidea w Chrome przy każdej wizycie na stronie internetowej.

Czasami może być konieczne wprowadzenie go więcej niż jeden raz, ponieważ witryna może próbować pobrać różne zasoby przed załadowaniem, powodując wiele błędów SSL

Answer 1 · 2018-04-16 21: 40: 37Z

Czasami, a szczególnie bardzo często, podczas tworzenia aplikacji internetowej, Chrome nie pozwala na odwiedzanie niektórych witryn i generowanie błędu certyfikatu / HSTS. Zauważyłem, że pisanie badidea(ostatnio thisisunsafe) w oknie przeglądarki Chrome spowoduje, że Chrome pominie weryfikację certyfikatu.

Czy to rozwiązanie działa tylko w przypadku określonej witryny, czy też Chrome zignoruje błędy certyfikatów / HSTS dla wszystkich witryn po użyciu tego słowa kluczowego?

Answer 2

Jest to specyficzne dla każdej witryny. Jeśli więc wpiszesz to raz, przejdziesz tylko przez tę witrynę, a wszystkie inne witryny będą potrzebować podobnego typu.

Jest również zapamiętywany dla tej strony i trzeba kliknąć na kłódkę, aby ją zresetować (aby można było wpisać ją ponownie):

Nie trzeba dodawać, że użycie tej „funkcji” jest złym pomysłem i niebezpiecznym - stąd nazwa.

Powinieneś dowiedzieć się, dlaczego witryna wyświetla błąd i / lub przestać go używać, dopóki go nie naprawią. HSTS specjalnie dodaje zabezpieczenia dla złych certyfikatów, aby zapobiec klikaniu przez nie. Fakt, że jest to potrzebne, sugeruje, że jest coś nie tak z połączeniem https - na przykład witryna lub połączenie z nią zostały zhakowane.

Programiści Chrome również okresowo to zmieniają. Niedawno zmienili go z badideana, thisisunsafewięc wszyscy używający badideanagle przestali go używać. Nie powinieneś na tym polegać. Jak zauważył Steffen w komentarzach poniżej, jest on dostępny w kodzie, gdyby ponownie się zmienił, chociaż teraz kodują go base64, aby uczynić go bardziej niejasnym. Ostatnim razem, gdy zmienili, umieścili ten komentarz w zatwierdzeniu :

Obróć słowo kluczowe obejścia pełnoekranowego

Słowo kluczowe obejścia zabezpieczeń śródmiąższowych nie zmieniło się od dwóch lat, a świadomość istnienia obejścia wzrosła na blogach i w mediach społecznościowych. Obróć słowo kluczowe, aby zapobiec niewłaściwemu użyciu.

Myślę, że przesłanie od zespołu Chrome jest jasne - nie powinieneś go używać. Nie zdziwiłbym się, gdyby w przyszłości całkowicie go usunęli.

Jeśli używasz tego, gdy używasz certyfikatu z podpisem własnym do testów lokalnych, dlaczego nie dodać certyfikatu certyfikatu z podpisem własnym do magazynu certyfikatów komputera, aby uzyskać zieloną kłódkę i nie musisz tego wpisywać? Uwaga: Chrome nalega na SANpole w certyfikatach, więc jeśli użyjesz tylko starego subjectpola, nawet dodanie go do magazynu certyfikatów nie spowoduje powstania zielonej kłódki.

Jeśli pozostawisz certyfikat jako niezaufany, pewne rzeczy nie będą działać. Na przykład buforowanie jest całkowicie ignorowane w przypadku niezaufanych certyfikatów . Podobnie jak HTTP / 2 Push .

HTTPS jest tutaj, aby pozostać i musimy przyzwyczaić się do prawidłowego korzystania z niego - i nie omijać ostrzeżeń za pomocą hackowania, który może się zmienić i nie działa tak samo jak pełne rozwiązanie HTTPS.

Answer 3

1

Dzięki @BazzaDP, jednak działa to nie tylko w przypadku określonej sesji. Używam certyfikatu z podpisem własnym, który jest dobry pod względem zaufania.

sk1llfull

Answer 4

Patrząc na sposób jego realizacji , masz rację.

Stefan

Answer 5

1

@FranklinYu zawsze istniał, ale jeśli chcesz przywrócić ostrzeżenia, możesz kliknąć Kłódkę, a następnie kliknąć „Włącz ponownie ostrzeżenia dla tej witryny”.

dragon788

Answer 6

3

Jeśli tak bardzo zależy im na bezpieczeństwie, dlaczego kliknięcie kłódki nie pokazuje żadnych informacji na temat używanego łańcucha certyfikatów?

LtWorf

Answer 7

3

Ponieważ nikt nie patrzył na to, z wyjątkiem ekspertów - którzy mogliby to uzyskać z narzędzi programistycznych w zakładce Bezpieczeństwo. Osobiście uważałem, że było gorzej, gdy umieścili tam zbyt dużo informacji ( security.stackexchange.com/questions/52834/… ). Ale tak, zgadzam się z tobą, że miło jest móc zobaczyć pełny certyfikat dla tych, którzy chcą i cieszę się, że przynieśli go z powrotem - może nie zauważyłeś, ale teraz, jeśli klikniesz na „Certyfikat (ważny)” słowa, które można zobaczyć w zwykłym oknie dialogowym systemu, w tym łańcuchu.

Barry Pollard

Answer 8

Jestem programistą PHP i aby móc pracować w swoim środowisku programistycznym z certyfikatem, mogłem zrobić to samo, znajdując prawdziwy certyfikat SSL HTTPS / HTTP i usuwając go.

Kroki są następujące:

W pasku adresu wpisz „chrome: // net-internals / # hsts”.
Wpisz nazwę domeny w polu tekstowym poniżej „Usuń domenę”.
Kliknij przycisk „Usuń”.
Wpisz nazwę domeny w polu tekstowym poniżej „Zapytanie o domenę”.
Kliknij przycisk „Zapytanie”.
Twoja odpowiedź powinna brzmieć „Nie znaleziono”.

Więcej informacji można znaleźć pod adresem : http://classically.me/blogs/how-clear-hsts-settings-major-browsers

Chociaż to rozwiązanie nie jest najlepsze, Chrome obecnie nie ma na razie dobrego rozwiązania. Eskalowałem tę sytuację wraz z zespołem pomocy, aby poprawić komfort użytkowania.

Edycja: musisz powtarzać kroki za każdym razem, gdy wchodzisz na zakład produkcyjny.

Answer 9

4

Błędy SSL są często generowane przez oprogramowanie do zarządzania siecią, takie jak Cyberroam.

Odpowiedzieć na Twoje pytanie,

Państwo będzie musiał wprowadzić badidea w Chrome przy każdej wizycie na stronie internetowej.

Czasami może być konieczne wprowadzenie go więcej niż jeden raz, ponieważ witryna może próbować pobrać różne zasoby przed załadowaniem, powodując wiele błędów SSL

Paulo
źródło

Jeśli to nie zadziała, zobacz tutaj i tutaj

sanmai

Będziesz musiał wprowadzić to dla każdej nowej domeny / subdomeny, którą odwiedzasz, po zaufaniu certyfikatowi (nawet jeśli jest nieprawidłowy), który Chrome zapamięta za Ciebie.

smok788

2

Zauważ, że jak już wspomniano w samym pytaniu, hasło ponownie się zmieniło. Od Chrome 65 tak jest thisisunsafe.

Greg A. Woods

gdzie piszesz to nie jest bezpieczne? Na pasku adresu?

user2026318

2

@ user2026318 Po prostu wpisz go, gdy jesteś na stronie wydania certyfikatu

sparkhee93

Answer 10