一个星期前,Google给我发送了一封电子邮件,要求我使用HTTPS。如果我不将HTTP传输到HTTPS,则它将向所有试图在我的站点中输入文本的站点访问者显示我的连接不安全。
如果不使用SSL,还有其他方法可以确保我的连接安全吗?由于在Web URL中使用SSL与昂贵的过程有关,因此我正在寻找其他任何选项。
http://
还不行,还有什么https://
呢?有没有abc://
,lgbtqiapk+://
或者dps://
?
一个星期前,Google给我发送了一封电子邮件,要求我使用HTTPS。如果我不将HTTP传输到HTTPS,则它将向所有试图在我的站点中输入文本的站点访问者显示我的连接不安全。
如果不使用SSL,还有其他方法可以确保我的连接安全吗?由于在Web URL中使用SSL与昂贵的过程有关,因此我正在寻找其他任何选项。
http://
还不行,还有什么https://
呢?有没有abc://
,lgbtqiapk+://
或者dps://
?
Answers:
还有其他方法可以确保我的连接安全吗?
Google不仅在抱怨“安全性”(其中可能包含许多不同的主题),它还专门针对加密 / HTTPS。使用纯HTTP时,客户端与服务器之间的连接是未加密的,从而使任何人都可以查看和拦截提交的任何内容。通常,只有在您允许用户登录(即提交用户名/密码)或通过未加密的连接提交付款信息时,才会提示此操作。一般的“文本”表单提交不一定是问题。但是,正如@Kevin在评论中指出的那样,Google / Chrome计划在将来扩展此功能:
最终,我们计划将所有HTTP页面标记为非安全页面,并将HTTP安全指示符更改为用于断开的HTTPS的红色三角形。
在您的站点上安装SSL证书(或使用诸如Cloudflare之类的前端代理来处理SLL)是加密到您站点的流量的唯一方法。
但是,如今这不一定是“昂贵的过程”。Cloudflare有一个“免费”选项,“ 让我们加密”是一个免费的证书颁发机构,许多主机默认情况下都支持。
我不建议这样做,但是您可以通过不使用原始输入文本字段来绕过此消息。您可以使用div
具有onkeypress
事件的常规字段来创建自己的输入字段。或者,您可以创建一个属性设置为的div
元素。contenteditable
true
这样,用户将可以在您的网站上输入信息,而无需使用input
标签元素。
XMLlHTTPRequest
(aka AJAX)发送信息
如果您只是提供静态文件,或者可以将代理放在最前面,则可以使用像caddy服务器之类的服务器,通过使用let加密为您处理所有这些事情,这将省去配置证书的麻烦,而您不必安装其他任何软件。
或者,您可以使用cloudflare之类的服务-他们的免费计划提供免费的https。
最后,一些主机现在提供免费的https证书,包括dreamhost。因此,请检查您当前的主机是否提供此选项。
我不建议您尝试找到一种解决方法,只有一种方法可以使您的网站安全,并且无论内容如何,浏览器最终都会在没有https的每个网站上发出警告。网络正在无处不在走向https。
似乎没有其他人提到过
,就像公司设置一样,您可以创建自己的证书颁发机构,并将其公共证书安装到连接到您站点的所有计算机上(以及所有浏览器和证书存储上)。此选项没有第三方货币化;使用相同的加密密码,但是您不会获得公共信任(例如,您的权限无法被Google的Chrome,Mozilla的Firefox等识别,就像我们加密的方式一样),但是它将被配置为信任自己的计算机识别。
坦率地说,建立证书颁发机构的交易有些棘手,维护工作可能很繁琐-因此,我将其保留在此处,您最好对您真正感兴趣的主题进行深入研究用这种方法。
尽管可以进行简单部署,但可以尝试XCA
XCS是为小型部署颁发证书的一种不错的方式,并且包括遍历整个设置的帮助文档。
我有两个主意。
如果使用HTTPS的原因是管理登录,那么可以通过为用户提供保持登录状态的方式来最小化对所有浏览器的影响。然后,当用户登录时,cookie可以永久存储在用户的计算机上,以便下次用户使用打开计算机以访问该站点,它将自动登录,而不是始终显示登录提示和可能的安全警告。
可以绕过消息但在来宾和服务器上进行更多工作的另一个想法是让来宾上载具有正确配置加密的特殊文件。例如,对于登录屏幕,不是要求用户在两个文本框中输入用户名和密码,而是让用户上传一个包含已加密用户名和密码的小文件(例如,将用户名和密码压缩为zip)文件(具有特定的压缩级别),则服务器可以解密该文件以提取用户名和密码。当用户将文件发送到服务器时,潜在的黑客将在传输中看到乱码。此想法的唯一一点好处是连接速度稍快,因为SSL连接处理不在HTTP中进行。
没有。
您尝试的任何黑客攻击(例如,尝试使用JavaScript进行加密)都不太可能甚至安全。
SSL不必“昂贵”,许多托管服务提供商免费提供。甚至像cloudflare之类的东西都提供免费的SSL,并保持当前的托管。