IP Girl
  1. IP Girl
  3. L’utilisation de ‘badidea’ ou ‘thisisunsafe’ pour contourner une erreur de certificate Chrome / HSTS ne s’applique-t-elle qu’au site actuel?
Intereting Posts
Comment spécifier le contexte racine dans vos balises dans web.xml? NSRange à la plage Comment utiliser les icons d’avertissement / d’erreur Windows standard dans mon application WPF? Pourquoi devons-nous définir à la fois == et! = En C #? Google Analytics a-t-il des problèmes de performances? Modifier la durée du délai de volley Comment pousser une image de docker vers un référentiel privé Fusionner la twig développement avec le maître Quelle est la meilleure façon de combiner un chemin et un nom de fichier dans C # /. NET? Comment arrêter la lecture de vidéos YouTube dans la vue Web d’Android? CFURLCopyResourcePropertyForKey a échoué car il a été passé cette URL qui n’a pas de schéma: Erreur de compilation «Code trop grand» en Java Comment redirect vers la page de connexion lorsque la session a expiré dans l’application Web Java? Différence entre fragment et activité de fragment Qu’est-ce que Ninject et quand l’utilisez vous?

L’utilisation de ‘badidea’ ou ‘thisisunsafe’ pour contourner une erreur de certificate Chrome / HSTS ne s’applique-t-elle qu’au site actuel?

Parfois, Chrome ne vous permet pas de visiter certains sites et de lancer une erreur de certificate / HSTS. J’ai trouvé que taper badidea (plus récemment thisisunsafe ) dans la fenêtre Chrome indiquera à Chrome d’ignorer la validation du certificate.

Cette solution ne fonctionne-t-elle que pour un site spécifique ou Chrome ignore-t-il les erreurs de certificate / HSTS pour tous les sites après avoir utilisé ce mot clé?

Ceci est spécifique à chaque site. Donc, si vous tapez une fois, vous ne ferez que passer à travers ce site et tous les autres sites auront besoin d’une saisie similaire.

Il est également mémorisé pour ce site et vous devez cliquer sur le cadenas pour le réinitialiser (pour pouvoir le saisir à nouveau):

entrer la description de l'image ici

Inutile de dire que l’utilisation de cette “fonctionnalité” est une mauvaise idée et n’est pas sûre – d’où le nom.

Vous devez découvrir pourquoi le site affiche l’erreur et / ou cesser de l’utiliser jusqu’à ce qu’ils le résolvent. HSTS ajoute spécifiquement des protections pour les mauvais certificates pour vous empêcher de cliquer dessus. Le fait que cela soit nécessaire suggère qu’il y a un problème avec la connexion https – comme le site ou votre connexion a été piraté.

Les développeurs de chrome changent également cela périodiquement. Ils ont changé récemment de badidea à thisisunsafe donc tout le monde utilisant badidea , a soudainement cessé de pouvoir l’utiliser. Vous ne devriez pas en dépendre. Comme Steffen l’a souligné dans les commentaires ci-dessous, il est disponible dans le code s’il change à nouveau, bien qu’il soit maintenant codé en base64 pour le rendre plus obscur. La dernière fois qu’ils ont changé, ils ont mis ce commentaire dans le commit :

Faire pivoter le mot-clé de contournement interstitiel

Le mot-clé de contournement interstitiel de sécurité n’a pas changé depuis deux ans et la connaissance du contournement a été accrue dans les blogs et les réseaux sociaux. Faites pivoter le mot-clé pour éviter les abus.

Je pense que le message de l’équipe Chrome est clair – vous ne devriez pas l’utiliser. Cela ne m’étonnerait pas s’ils le retiraient complètement à l’avenir.

Si vous utilisez ceci lors de l’utilisation d’un certificate auto-signé pour un test local, pourquoi ne pas simplement append votre certificate de certificate auto-signé au magasin de certificates de votre ordinateur pour obtenir un cadenas vert et ne pas avoir à le saisir? Remarque Chrome insiste maintenant sur un champ SAN dans les certificates, de sorte que si vous utilisez uniquement l’ancien champ d’ subject , même l’append au magasin de certificates n’entraînera pas de cadenas vert.

Si vous laissez le certificate non approuvé, certaines choses ne fonctionnent pas. La mise en cache, par exemple, est complètement ignorée pour les certificates non approuvés . Tel que HTTP / 2 Push .

HTTPS est là pour restr et nous devons nous habituer à l’utiliser correctement – et ne pas contourner les avertissements avec un piratage susceptible de changer et de ne pas fonctionner comme une solution HTTPS complète.

Les erreurs SSL sont souvent envoyées par un logiciel de gestion de réseau tel que Cyberroam.

Pour répondre à ta question,

Vous devrez entrer badidea dans Chrome chaque fois que vous visitez un site Web.

Il se peut que vous deviez parfois le saisir plus d’une fois, car le site peut essayer de récupérer diverses ressources avant le chargement, provoquant ainsi plusieurs erreurs SSL.

Je suis développeur PHP et pour pouvoir travailler sur mon environnement de développement avec un certificate, j’ai pu faire la même chose en trouvant le vrai certificate SSL HTTPS / HTTP et en le supprimant.

Les étapes sont les suivantes:

  1. Dans la barre d’adresse, tapez “chrome: // net-internals / # hsts”.
  2. Tapez le nom de domaine dans le champ de texte sous “Supprimer le domaine”.
  3. Cliquez sur le bouton “Supprimer”.
  4. Tapez le nom de domaine dans le champ de texte sous “Domaine de requête”.
  5. Cliquez sur le bouton “Requête”.
  6. Votre réponse devrait être “Not found”.

Vous pouvez trouver plus d’informations sur: http://classically.me/blogs/how-clear-hsts-settings-major-browsers

Bien que cette solution ne soit pas la meilleure, Chrome n’a pour le moment aucune bonne solution. J’ai aggravé cette situation avec leur équipe de support pour améliorer l’expérience utilisateur.

Edit: vous devez répéter les étapes chaque fois que vous allez sur le site de production.