混合コンテンツの警告

サポート
1

こんにちは、

時折、フォーラムに「混合コンテンツ」の警告が表示されることがあります。以下は Let’s Encrypt の例です:

一部のファビコン:http://alohadentalgroup.com/assets/icons/favicon.ico

これは https://sjc4.discourse-cdn.com/letsencrypt/assets/_application-b690f7341f116f756f6621f3fbcc8e6ae69695c2db2f5ebceb6c46aaed19b17f.js 76678:17 で見つかりました。

これらのリンクを https に変更するか、http リンクを無視することは可能でしょうか?

混合コンテンツを含むフォーラムは問題があります。

2

そのファビコンの URL は Discourse 上にホストされていないようですが、Discourse を使用されていますか?インストールの URL は何ですか?

force_https が有効になっていますか?

有効になっている場合は、アイコンを再アップロードしてください。有効になっていない場合は、有効にした上で再アップロードしてください。

3

わかりません。私は Letsencrypt フォーラムの管理者ではありません。

ただし、ローカルオプションがある場合は、内部の Regular フォーラムで尋ねます。

PS: 移動ありがとうございます。

4

その警告は気にする必要はありません。

Let’s Encrypt サイトのユーザーの一人が、このトピック Issues running certbot command - Help - Let's Encrypt Community Supporthttp の URL を追加しました。

このため、ブラウザは(正当に)混合コンテンツがあると警告しています。

5

混合コンテンツの警告は常に問題です。HTTP 経由で Cookie を追加し、次の HTTPS 接続で使用することが可能です。そのため、フォーラムソフトウェアが HTTP 接続を開始することは決してあってはなりません。

特に「私の証明書が間違っている」や「コンテンツの警告がある」といった話題を扱うフォーラムでは(証明書自体は正しいが、混合コンテンツが存在する──そのドメインでの最初の証明書であり、リンクの更新が必要)、注意が必要です。

6

そのファビコンは HTTPS 経由で利用できません。混合コンテンツの警告は理想的ではありませんが、リンクが機能しない理由についてのユーザーの混乱よりも望ましいです。

7

[quote=“Stephen, post:6, topic:163727”]
そのファビコンは HTTPS 経由で利用できません。[/quote]

はい、承知しています。しかし、中間者攻撃者がブラウザが開始した HTTP 接続を利用して、HTTP 経由で Cookie を追加する可能性があります。その後、その Cookie はブラウザから HTTPS 経由で送信され、中間者攻撃者がセッション Cookie を取得してしまうのです。

これは成立します。HTTP ステータス(404、301、410、500)は関係ありません。

それは

[quote=“Stephen, post:6, topic:163727”]
ユーザーがリンクが機能しない理由について混乱するよりも望ましい[/quote]

という点については問題ありません。ファビコンはユーザーが開始するリンクではなく、ユーザーが HTTPS ではなく HTTP リンクをサイトに追加するだけです。

簡単な解決策:宛先が HTTP の場合はプレビューを表示しないことです。そうすれば、ファビコンを読み込む必要がなくなります。

8

サードパーティの接続では起こりません。ブラウザは、フォーラムサイトのクッキーを他のサイト(HTTP でも HTTPS でも)に送信しません。

存在しない問題をでっち上げているだけです。もし本当にこれが問題だと感じるなら、try.discourse.org で実際に悪用事例を示してください。

「いいね!」 5
9

それは問題ではありません。もしそうならブラウザのバグです。

中間者攻撃者は、http://alohadentalgroup.com 接続に、ドメイン alohadentalgroup.com に対して、そのドメインの既知のセッションクッキー名(存在するかは確認していませんが、フォーラムドメインのものではありません)でクッキーを追加できます。

その後、ユーザーが https://alohadentalgroup.com のログインを使用してそのドメインを管理すると、HTTP 経由で作成されたそのクッキーが HTTPS 経由で送信されます。

これは重要な(そしてしばしば知られていない)クッキーの機能の一つです。

これがプレフィックス付きクッキーが作成される理由の一つです。__Secure- または __Host- で始まるクッキーの場合、HTTPS が必要です。これにより、このような行為は不可能になります。プレロードについても同様ですが(ただし、多くのサイトは HSTS を使用しておらず、プレロードされていません)。

参照(2017 年)

または他のリンクも参照してください。

追伸:私の「ウェブサイトの確認」(プロフィール参照)には、いくつかのサンプルと小さなデモが含まれたページがあります。HTTP 経由で作成され、HTTPS 経由で送信されるクッキーのデモです。HTTP 経由では(現代のブラウザでは)__Host- クッキーを作成することはできません。ただし、プレフィックス付きクッキーは稀です。