HTTPS接続は画像により「安全ではない」


14

現在、Webサイトで作業しており、SSL証明書を正常にインストールしました。

GeoTrust SSL / TLSチェッカーは、証明書チェーン(CAを含む)が適切にインストールされていることを確認しました。Chromeではすべてが正常に見えますが、私の南京錠は緑色ではなく、Firefoxでは、暗号化されていない要素があるため、Webサイトは安全ではないと実際に述べています。

オンラインサービスを使用してその理由を確認しましたが、実際に私の画像は安全なURLとは見なされていません。この状況にどのように対処しますか、つまり、どのように自分のウェブサイトに安全に画像を埋め込むのですか?

回答:


32

現在、画像タグは次のようになっている必要があります。

<img src="http://example.com/images/image.jpg">

つまりhttp、画像が安全に配信されないことを意味します。攻撃者は、転送中に画像を変更し、それにより、セキュリティ保護されていないページがユーザーに表示される方法を変更する可能性があります。

代わりに、次のいずれかを使用して画像を安全に提供できます。

  • https明示的にリンク:<img src="https://example.com/images/image.jpg">
  • 独自のドメイン上の画像への相対リンクを使用します。 <img src="/images/image.jpg">
  • プロトコル相対リンクを使用して、他のドメインの画像を使用します。 <img src="//example.com/images/image.jpg">

Explicit httpsは、ページが安全に配信されない場合でも、常に画像を安全に配信しますが、相対リンクはページが安全に配信される場合にのみ画像を安全に配信します。

Firefoxおよびchromeでは、南京錠をクリックして、問題に関する詳細情報を取得できます。これを行った後、ページのすべての画像のリストを表示するFirefoxのスクリーンショットを次に示します。リストをスキャンして、どれが簡単かを確認するのは簡単ですhttp


2
「攻撃者は転送中に画像を変更し、それにより、セキュリティ保護されたページがユーザーにどのように見えるかを変更する可能性があります。」-または、レンダラーの脆弱性を引き起こします。
ジョンドヴォルザーク

2
また、アクセストークンを含む可能性のあるCookieをハイジャックします。
ダークホッグ

そうするようにアドバイスされているように思えます。あなたのおかげで、私はなんとか緑色の南京錠を手に入れることができましたが、友人は画像の暗号化はページを遅くするかもしれないと言いました。これは私の場合の問題ですか?
mti_

3
暗号化には確かにオーバーヘッドがありますが、最近では通常10%以下です。そのパフォーマンスのペナルティは(画像であっても)安全なサイトに支払う必要がある価格です。
スティーブンオステルミラー

whynopadlock.comは、特定のURLで安全でないリソースをすばやく特定するための便利なツールです。
ヴィル

5

問題は、ページがhttpsではなくhttpの場所からリンクを提供していることです。これは、画像などのリソースを参照するために絶対httpリンクを使用しているためです。httpまたはhttpsのいずれかでリンクを参照し、この問題を回避できるようにする2つの優れた方法があります。

これらのリンクを見つけて、次のいずれかに変更する必要があります。

  1. 相対リンク:すなわち。/wp-content/yourtheme/images/image1.jpg
  2. または、//のようにドメインの前に//を置く//example.com/wp-content/wp-content/yourtheme/images/image1.jpg と、これらのリソースがhttpまたはhttpsを介して、要求に応じて提供されます。

ChromeとFirefoxの両方で、南京錠アイコンをクリックしてからクリックスルーして、問題のある安全でないリンクのリストを表示できます。また、ブラウザで強調表示されている画像やその他のリソースが表示されないのにエラーが発生する場合は、httpを介して絶対にリンクを参照しているjavascript呼び出しがあることがわかります


2
//当初は標準ではなく、Lynxなどのブラウザは文句を言います。
ミラビロス

2
@mirabilos RFC 1808はURLの標準であり//、セクション2.4.3でプロトコル相対リンク(で始まる)を指定しています。この標準は現在15年前であり、Lynxを含む
Stephen Ostermiller

#mirabilos推奨されるGoogleリポジトリリンクを確認してください。Googleが長年それらを使用していることがわかります。
ガース

1

それは本当に基本的です。SSL(https)を介して提供されるWebサイトを構築している場合、httpsで始まらないコード内の参照は、リンク以外のセキュリティ警告をスローします。ほとんどの(すべての)ブラウザーは、httpへのデフォルトの相対リンクにも注意してください。したがって、/ uploads / 12/5 / img.jpgまたは/js/jquery.jsを参照する場合、転送プロトコルはデフォルトでhttpになります-これは非常に迷惑です。

すべてのブラウザで警告の処理は少し異なりますが、何らかのメッセージが表示されます。一般的なステートメントは、新しいブラウザほどメッセージが深刻になるということです。一部の古いブラウザはこれらのエラーを事実上無視しますが、新しいブラウザは「s」がないために世界が攻撃を受けているように動作します。


10
「ほとんどの(すべての)ブラウザーは、httpへのデフォルトの相対リンクも」Err、何?新しいブラウザを明示的に指定しない場合、壊れていない限り、すべてのブラウザは現在のプロトコルを使用します。
オレグV.ヴォルコフ

5
オレグは正しい。それは「迷惑」ではありません:それは完全に間違っています。
モニカとの明るさのレース

3
これは完全に間違っています。この答えは無視してください。
martijnve

@martijnve-私の答えはどう間違っていますか?
空白

4
@blankip oleg V. Volkovsのコメントを参照してください。httpを含む参照はすべて間違っています。他のすべては大丈夫です。(プロトコル相対、ドメイン相対、パス相対)。とにかくほとんどすべての場合に相対リンクを使用する必要があります。
martijnve

1

WebページでSSLを有効にした後、画像を表示できない場合にこれらの提案が役に立たない場合は、cPanelのセキュリティセクションにあるcPanelのホットリンク設定を確認してください。:それは、この設定では次のしていることは非常に可能ですhttp://example.comhttp://www.example.comしながら、画像にアクセスできるようにするために有効になっているhttpsこれらのバージョンが有効になっていません。


-4

cms / wordpress / magentoまたは使用している他のプラットフォームで安全なURLプロトコル設定を確認してください。画像タグの一部を共有することもできますが、基本的なimg src画像ではそのようなエラーは発生しません。

イメージタグの構造は重要ですが、質問の焦点は、サイトにインストールされているSSL証明書の「タイプ」に関連すると思います。「標準のGoDaddy SSL証明書で個人的なケースが発生しました。

Firefoxの(具体的には)URL検索バーに警告アイコンが表示され、サイトに安全でない画像や要素がある可能性があることを示します。私が知る限り、それはfirefoxが証明書に関する情報、またはそれに含まれる情報をどのように処理するかという問題です。これは、Safari、Chrome、またはその他のブラウザーでは発生しません。私はこれに対する解決策を見つけました。「標準SSL」の代わりに「プレミアムSSL証明書またはEVC 拡張検証証明書」をインストールします。これにはサイト会社に関する詳細情報があります。緑色の南京錠の安全なURLバーが表示されます。

ただし、プレミアムSSL証明書はもう少し高価で、年間150ドルから200ドル程度です。

ここに画像の説明を入力してください


5
<IMG SRC =「...」>タグができます1):これは真実ではありません確かにあなたがHTTP URLを入力すると、この種のエラーを与える(HTTPS URLではなく)と2)ceritificateの種類やそれが処理される方法は絶対にありません、何もこれを行うに
fNek

sslプロトコルの有無にかかわらず{{media url = "path / to / image.jpg"}}のようなimg srcグローバルメディアタグに使用しますが、エラーは発生しません。ちなみに、スティーブンのFirefoxのSSLエラーを指すimが表示されました。よろしく。
Gaio RoOts

3
相対URLを使用する場合、相対URLであるため問題はありません。他の答えを読んでください。あなたはスティーブンのエラーに言及していることを知っています。証明書の種類はまだ関係がありません。
fNek

証明書の種類は、いわゆる「混合コンテンツ警告」には影響しません。また、最近のすべてのブラウザーは、ロックアイコンの表示を拒否することで、警告を表示します。
マーティン・ヘメルズ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.