छवियों के कारण HTTPS कनेक्शन "सुरक्षित नहीं है"


14

मैं वर्तमान में एक वेबसाइट पर काम कर रहा हूं और मैंने अपना एसएसएल प्रमाणपत्र सफलतापूर्वक स्थापित कर लिया है।

GeoTrust SSL / TLS चेकर ने पुष्टि की कि प्रमाणपत्र श्रृंखला (CA सहित) ठीक से स्थापित है। क्रोम पर सब कुछ ठीक लगता है, लेकिन मेरा पैडलॉक हरा नहीं है और फ़ायरफ़ॉक्स पर यह वास्तव में बताता है कि वेबसाइट सुरक्षित नहीं है क्योंकि इस पर अनएन्क्रिप्टेड तत्व मौजूद हैं।

मैंने यह जांचने के लिए एक ऑनलाइन सेवा का उपयोग किया कि वह क्यों है और यह पता चलता है कि वास्तव में मेरी छवियों को सुरक्षित URL नहीं माना जाता है। मैं इस स्थिति से कैसे निपटूं, उर्फ ​​मैं अपनी वेबसाइट पर छवियों को सुरक्षित रूप से कैसे एम्बेड करूं?

जवाबों:


32

आपकी छवि टैग वर्तमान में दिखना चाहिए:

<img src="http://example.com/images/image.jpg">

यही कारण है कि httpवहाँ का मतलब है कि छवि सुरक्षित रूप से नहीं परोसा जाता है। एक हमलावर छवि को पारगमन में बदल सकता है और इस तरह बदल सकता है कि आपका अन्यथा सुरक्षित पृष्ठ आपके उपयोगकर्ताओं को कैसे दिखता है।

इसके बजाय आप निम्न में से किसी का उपयोग करके छवियों को सुरक्षित रूप से सेवा कर सकते हैं:

  • httpsस्पष्ट रूप से लिंक करें :<img src="https://example.com/images/image.jpg">
  • अपने स्वयं के डोमेन पर छवियों को जोड़ने के सापेक्ष उपयोग करें: <img src="/images/image.jpg">
  • अन्य डोमेन से छवियों का उपयोग करने के लिए प्रोटोकॉल सापेक्ष लिंकिंग का उपयोग करें: <img src="//example.com/images/image.jpg">

स्पष्ट httpsहमेशा छवि को सुरक्षित रूप से सेवा करेगा (भले ही पृष्ठ सुरक्षित रूप से नहीं परोसा गया हो) जबकि रिश्तेदार लिंकिंग छवि की सेवा केवल तभी करेंगे जब पृष्ठ सुरक्षित रूप से परोसा जाएगा।

फ़ायरफ़ॉक्स और क्रोम में आप पैडलॉक पर क्लिक कर सकते हैं और समस्या के बारे में अधिक जानकारी प्राप्त कर सकते हैं। ऐसा करने के बाद, यहाँ फ़ायरफ़ॉक्स से एक स्क्रीन शॉट दिया गया है जो पेज की सभी छवियों की एक सूची दिखा रहा है। सूची को स्कैन करना और यह देखना आसान है कि कौन से हैं http:


2
"एक हमलावर संक्रमण में छवि को बदल सकता है और इस तरह बदल सकता है कि आपका अन्यथा सुरक्षित पृष्ठ आपके उपयोगकर्ताओं को कैसे दिखता है।" - या यहां तक ​​कि रेंडरर में भेद्यता को ट्रिगर करना।
जॉन ड्वोरक

2
और अपहरण कुकीज़, जिसमें पहुंच टोकन शामिल हो सकते हैं।
डार्कहॉग

ऐसा लगता है कि ऐसा करने की सलाह दी जाती है। आपको धन्यवाद कि मैं अपना ग्रीन पैडलॉक प्राप्त करने में कामयाब रहा, लेकिन एक मित्र ने कहा कि एन्क्रिप्ट करने वाली छवियां पृष्ठ को धीमा कर सकती हैं। क्या यह मेरे मामले में एक मुद्दा है?
मत्ती_

3
एन्क्रिप्शन के लिए निश्चित रूप से कुछ ओवरहेड है, हालांकि यह आमतौर पर इन दिनों 10% से अधिक नहीं है। वह प्रदर्शन जुर्माना (यहां तक ​​कि छवियों के लिए) वह मूल्य है जो आपको एक सुरक्षित साइट के लिए भुगतान करना होगा।
स्टीफन Ostermiller

whynopadlock.com एक विशिष्ट URL पर असुरक्षित संसाधनों को तुरंत इंगित करने के लिए एक आसान उपकरण है।
विले

5

मुद्दा यह है कि आपका पृष्ठ http स्थान से https के विपरीत लिंक परोस रहा है। यह छवियों जैसे संदर्भ संसाधनों के लिए पूर्ण http लिंक का उपयोग करने के कारण है। दो बेहतर तरीके हैं जो आपको http या https में लिंक को संदर्भित करने और इस समस्या से बचने में सक्षम करेंगे।

इसके लिए आपको ये लिंक ढूंढने होंगे और उन्हें या तो इनको बदलना होगा:

  1. रिश्तेदार लिंक: यानी।/wp-content/yourtheme/images/image1.jpg
  2. या जगह // डोमेन के सामने के रूप में //example.com/wp-content/wp-content/yourtheme/images/image1.jpg यह तब इन संसाधनों की सेवा करेगा जो भी अनुरोध के आधार पर http या https पर था।

क्रोम और फ़ायरफ़ॉक्स दोनों में आप पैडलॉक आइकन पर क्लिक कर सकते हैं और फिर अपमानजनक असुरक्षित लिंक की सूची देखने के लिए क्लिक कर सकते हैं। और यदि आप ब्राउज़र में हाइलाइट किए गए किसी भी चित्र या अन्य संसाधन को नहीं देख सकते हैं, लेकिन अभी भी त्रुटियां हो रही हैं, तो आपको पता चल सकता है कि जावास्क्रिप्ट कॉल है जो http के माध्यम से लिंक को बिल्कुल संदर्भित कर रहा है


2
//शुरुआत में n then-standard है, और लिंक्स जैसे ब्राउज़र शिकायत करेंगे।
mirabilos

2
@mirabilos RFC 1808 URL के लिए मानक है और //खंड 2.4.3 में प्रोटोकॉल सापेक्ष लिंक (शुरुआत के साथ ) निर्दिष्ट करता है । मानक अब 15 वर्ष की उम्र और सभी प्रमुख ब्राउज़रों द्वारा कार्यान्वित है लिंक्स सहित
स्टीफन Ostermiller

#mirabilos अपने अनुशंसित Google रिपॉजिटरी लिंक की जाँच करें। आप पाएंगे कि Google कई वर्षों से उनका उपयोग कर रहा है।
गर्थ

1

यह वास्तव में बुनियादी है। जब आप SSL (https) से अधिक सेवा वाली वेबसाइटों का निर्माण कर रहे हैं , तो आपके कोड में कोई भी संदर्भ जो कि https के साथ पूर्वनिर्धारित नहीं है , लिंक के अलावा सुरक्षा चेतावनी भी देगा। ध्यान दें कि अधिकांश (सभी) ब्राउज़र http के सापेक्ष लिंक को भी डिफ़ॉल्ट करते हैं। इसलिए यदि आप /uploads/12/5/img.jpg या /js/jquery.js को संदर्भित करेंगे तो हस्तांतरण प्रोटोकॉल http - डिफ़ॉल्ट रूप से कष्टप्रद होगा।

सभी ब्राउज़र चेतावनी को थोड़ा अलग तरीके से संभालते हैं लेकिन आपको किसी प्रकार का संदेश मिलेगा। एक सामान्य कथन यह होगा कि नया ब्राउज़र जितना अधिक गंभीर होगा, संदेश उतना अधिक होगा। कुछ पुराने ब्राउज़र व्यावहारिक रूप से इन त्रुटियों को अनदेखा करते हैं, जबकि नए ब्राउज़र कार्य कर सकते हैं जैसे कि आपकी दुनिया में "लापता" होने के कारण हमला हो रहा है।


10
"सबसे (सभी) ब्राउज़र भी http के सापेक्ष डिफ़ॉल्ट लिंक करते हैं" Err, क्या? जब तक वे टूट न जाएं, तब तक सभी ब्राउज़र्स, वर्तमान प्रोटोकॉल का उपयोग करेंगे यदि आप स्पष्ट रूप से नया निर्दिष्ट नहीं करते हैं।
ओलेग वी। वोल्कोव

5
ओलेग सही है; यह "कष्टप्रद" नहीं है: यह पूरी तरह से गलत है।
मोनिका

3
यह पूरी तरह से गलत है। इस उत्तर की अवहेलना करें।
martijnve

@martijnve - मेरा उत्तर कैसे गलत है?
कंबल

4
@blankip ने oleg V. Volkovs की टिप्पणी देखी। कोई भी संदर्भ जिसमें http शामिल है, गलत है। बाकी सब ठीक हैं। (प्रोटोकॉल रिश्तेदार, डोमेन रिश्तेदार, पथ रिश्तेदार)। और आपको वैसे भी लगभग सभी मामलों में रिश्तेदार लिंक का उपयोग करना चाहिए।

1

यदि आपके वेबपेज पर एसएसएल को सक्षम करने के बाद इनमें से कोई भी सुझाव तब प्रदर्शित नहीं कर पाता है, जब यह चित्र प्रदर्शित करने में असमर्थता में मदद करता है, तो हॉटलाइन के लिए cPanel की सेटिंग, जो कि cPanel के सुरक्षा अनुभाग के अंतर्गत है, की जाँच करें। यह बहुत संभव है कि इस सेटिंग में आपके पास निम्नलिखित हैं: http://example.comऔर http://www.example.comछवियों को एक्सेस करने की अनुमति देने में सक्षम हैं जबकि httpsइन का संस्करण सक्षम नहीं है।


-4

अपने cms / wordpress / magento या आपके द्वारा उपयोग किए जा रहे किसी भी अन्य प्लेटफ़ॉर्म में अपने सुरक्षित url प्रोटोकॉल कॉन्फ़िगरेशन की जाँच करें। आप अपने कुछ इमेज टैग भी शेयर कर सकते हैं, लेकिन बेसिक img src इमेज उस तरह की एरर नहीं देते हैं।

छवि टैग संरचना महत्वपूर्ण है, लेकिन आपके प्रश्न का फोकस मुझे लगता है कि आपकी साइट पर स्थापित एसएसएल प्रमाणपत्र "प्रकार" के सापेक्ष है। मेरे साथ एक व्यक्तिगत मामला "मानक GoDaddy SSL प्रमाणपत्र" के साथ हुआ।

आप फ़ायरफ़ॉक्स (विशेष रूप से) यूआरएल सर्च बार में एक चेतावनी आइकन देखते हैं, यह कहते हुए कि आपकी साइट पर असुरक्षित चित्र या तत्व हो सकते हैं। जहां तक ​​मुझे पता है कि इसका सिर्फ एक प्रमाण पत्र के बारे में फ़ायरफ़ॉक्स कैसे जानकारी संसाधित करता है, या इसमें शामिल जानकारी है। सफारी, क्रोम या अन्य ब्राउज़रों में ऐसा नहीं होता है। मुझे इसके लिए एक समाधान मिला, "मानक एसएसएल" के बजाय एक "प्रीमियम एसएसएल सर्टिफिकेट या ईवीसी विस्तारित मान्यता प्रमाणपत्र " जो कि साइट कंपनी के बारे में अधिक विस्तृत जानकारी है। आपको एक हरे रंग का पैडलॉक सुरक्षित url बार मिलेगा।

हालाँकि, प्रीमियम ssl प्रमाणपत्र थोड़ा अधिक महंगा हो सकता है, लगभग $ 150- $ 200 USD प्रति वर्ष।

यहाँ छवि विवरण दर्ज करें


5
यह सच नहीं है क्योंकि: 1) <img src = "..."> टैग वास्तव में इस तरह की त्रुटि दे सकते हैं , यदि आप एक HTTP url (जैसे HTTPS url के विपरीत) और 2) सेरिटिफ़िट के प्रकार में प्रवेश करते हैं। जिस तरह से इसे संसाधित किया जाता है उसका इससे कोई लेना- देना नहीं है
fNek

मैं sgl प्रोटोकॉल के साथ या उसके बिना {{मीडिया url = "पथ / से / image.jpg"}} जैसे img src वैश्विक मीडिया टैग के लिए उपयोग करता हूं और मुझे कोई त्रुटि नहीं मिलती है। जिस तरह से स्टीफन फ़ायरफ़ॉक्स एसएसएल त्रुटि की ओर इशारा करते हुए दिखाया गया है। सादर।
Gaio RoOts

3
यदि आप सापेक्ष URL का उपयोग करते हैं, तो कोई समस्या नहीं है, क्योंकि वे सापेक्ष हैं। कृपया अन्य उत्तर पढ़ें। मुझे पता है कि आप स्टीफन की त्रुटि का जिक्र कर रहे हैं। प्रमाणपत्र प्रकार अभी भी इसके साथ कुछ नहीं करना है।
fNek

प्रमाण पत्र के प्रकार का तथाकथित 'मिश्रित-सामग्री चेतावनी' पर कोई प्रभाव नहीं पड़ता है। इसके अलावा, इन दिनों के सभी आधुनिक ब्राउज़र चेतावनी को दिखाते हैं, कुछ स्पष्ट रूप से, अन्य केवल लॉक आइकन दिखाने से इनकार करके।
मार्टिज़न हेमेल्स
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.