IP Girl
  1. IP Girl
  3. Comment pouvez-vous dire exactement quels éléments non sécurisés font qu’un navigateur avertit des éléments mixtes sécurisés et non sécurisés?
Intereting Posts
Comment sortinger une liste par différents parameters à différents moments Exécution d’un serveur express de noeud à l’aide de webpack-dev-server nodemon pas trouvé dans npm Déranger! Important avec css ou jquery Imprimer du texte au lieu de la valeur de C enum Quelle est la différence entre le sorting par godet et le sorting de base? MySQL Query pour sélectionner des données de la semaine dernière? Spécialisation du modèle de classe: classement partiel et synthèse de fonction Affirmer qu’un WebElement n’est pas présent à l’aide de Selenium WebDriver avec Java Chaque object doit-il avoir une interface et tous les objects couplés librement? Largeur cohérente pour geom_bar en cas de données manquantes Des fautes SOAP ou des résultats d’object? Qu’est-ce que le dossier .idea? Instruction de bloc inattendue entourant le corps de la flèche Choisir la valeur par défaut d’un type Enum sans avoir à modifier les valeurs

Comment pouvez-vous dire exactement quels éléments non sécurisés font qu’un navigateur avertit des éléments mixtes sécurisés et non sécurisés?

Dans Firefox, je consulte mon site et n’obtiens aucun avertissement concernant le contenu mixte non sécurisé.

En utilisant FireBug, je peux voir que chaque demande est https .

Dans Chrome, le https barré dans la barre d’adresse.

Barre d'adresse de Chrome

Erreur de chrome

J’ai visualisé la source dans Chrome puis exécuté cette regex /http(?!s)/ mais les seules choses trouvées étaient les atsortingbuts href pour certains liens externes et les balises META de type doc et http-equiv .

L’utilisation du suivi des ressources de Chrome a révélé que toutes les demandes étaient également https .

Cela inclut Google Analytics, jQuery de Google CDN et Facebook comme des scripts.

Existe-t-il un outil spécifique que je peux utiliser pour afficher des requêtes non https , ou autre chose que je peux essayer?

J’ai constaté que le contenu mixte était détecté dans Chrome, même en l’absence de contenu mixte, si un contenu mixte était déjà rencontré sur le domaine au cours de la session.

(Aussi mentionné ici: Pourquoi Chrome signale-t-il un avertissement sécurisé / non sécurisé alors qu’aucun autre navigateur ne le fait pas? )

Dans les outils de développement de Chrome, l’onglet Console affiche les ressources qu’il ne charge pas car elles ne sont pas sécurisées.

Vous pouvez append la colonne “Schéma” à l’onglet Réseau des outils de développement Chrome pour afficher les demandes envoyées via http ou https:

  1. Appuyez sur F12 pour afficher les outils de développement
  2. Passer à l’onglet Réseau
  3. Faites un clic droit dans les en-têtes de colonne et sélectionnez “Scheme”
  4. Rechargez la page pour afficher les éléments chargés via http ou https

Outils de développement Chrome, colonne de schéma

Dans des situations comme celle-ci, où il est utile de voir exactement quel protocole est utilisé pour charger des ressources, je recommanderais Fiddler2 comme une solution indépendante du navigateur qui peut vous montrer exactement quel trafic se produit à chaque demande.

Depuis le site:

Fiddler est un proxy de débogage Web qui enregistre tout le trafic HTTP (S) entre votre ordinateur et Internet. Fiddler vous permet d’inspecter tout le trafic HTTP (S), de définir des points d’arrêt et de “manipuler” les données entrantes ou sortantes. Fiddler comprend un puissant sous-système de script basé sur les événements et peut être étendu à l’aide de tout langage .NET.

Edit : Les outils de débogage intégrés au navigateur deviennent vraiment performants, de sorte que cet outil tiers risque de ne pas être aussi utile qu’au moment de la rédaction de cette réponse.

Ouvrez l’inspecteur Web et trouvez le sortingangle jaune (avertissement) en haut à droite. Cliquez dessus pour afficher tous les problèmes de sécurité.

Dans la 48ème version de chrome, ils ont ajouté un panneau de sécurité . En l’utilisant, vous pouvez rapidement identifier les ressources de contenu mixte:

entrer la description de l'image ici

Avez-vous le plugin HttpFox pour FireFox? Ça marcherait, je pense. Entre autres choses, il fournit des informations sur l’URL, la méthode, le code de résultat et les octets de toutes les ressources demandées par une page Web. C’est ce que j’ai utilisé pour piéger les graphiques non-HTTPS occasionnels, etc. Je suis sûr que les autres outils suggérés feraient la même chose …

Vous pouvez utiliser SslCheck

C’est un outil en ligne gratuit qui explore un site Web de manière récursive (en suivant tous les liens internes) et parsing les sites non sécurisés – images, scripts et CSS.

(avertissement: je suis l’un des développeurs)

Je sais que cet article est ancien, mais je l’ai rencontré et j’ai eu le même problème. J’ai cliqué sur le menu Chrome (coin supérieur droit), fait défiler vers le bas jusqu’à Outils> et les outils de développement sélectionnés. Cliqué sur l’onglet Console et il m’a dit exactement quel était le problème … le favicon a été servi via http, pas https, mais bien sûr, ce n’était pas dans le code source de la page. Correction du problème dans mon CMS, qui charge le favicon sans code dans la page … et plus d’erreur!

Notez que le «contenu mixte» et le «script mixte» sont détectés séparément. Consultez ce site pour connaître la signification des icons dans Chrome: https://support.google.com/chromebook/answer/95617?p=ui_security_indicator&rd=1 (cliquez sur le lien “Voir les détails”).

Icône grise = contenu mixte, icône rouge = script mixte.