显示/弹出SSL证书信息的最佳方式
如何将链接(图标,…)放入我的网页以显示当前SSL证书信息 最简单的方法是链接到某个在线站点验证程序(第三方或我们自己的),但如果可能的话,内置的弹出式浏览器信息将非常有用 我认为强调SSL安全性(例如,靠近“购买”按钮)或存在涉及的帧和/或多个资源时,或不知道使用的特定证书时,是有用的 有办法吗 谢谢 更新:显示/弹出SSL证书信息的最佳方式,ssl,browser,https,Ssl,Browser,Https,如何将链接(图标,…)放入我的网页以显示当前SSL证书信息 最简单的方法是链接到某个在线站点验证程序(第三方或我们自己的),但如果可能的话,内置的弹出式浏览器信息将非常有用 我认为强调SSL安全性(例如,靠近“购买”按钮)或存在涉及的帧和/或多个资源时,或不知道使用的特定证书时,是有用的 有办法吗 谢谢 更新: 作为外部验证提供者的示例 我正在寻找弹出式的内置浏览器证书信息(例如,有两个域,一个作为父文档,另一个作为框架内容,用户可以很容易地看到最上面的证书,但看不到最里面的证书) 我不认为有办
我不认为有办法做到这一点,我也不认为这是一个好主意:对证书信息的访问必须由用户控制,而不是由网站控制。否则,该网站可以要求任何它想要的东西。此外,指向在线验证程序的链接也有误导性,因为该站点可能与验证程序不同,而与用户不同 除此之外,仅仅使用SSL并不能说明站点的安全性。任何人都可以获得这样的证书,但仍然可以存储未加密的密码、松散的信用卡信息、遭到黑客攻击或传播恶意软件 如何将链接(图标,…)放入我的网页以显示当前SSL证书信息 据我所知,没有这样的功能,在浏览器中实现这样的功能不是一个好主意 不幸的是,检查用户和网站之间连接的安全性是你不能做任何事情的。无论你在你的终端做什么,充其量只是一个噱头,最坏的情况是给用户一种虚假的安全感,可能误导他们检查错误的东西,并鼓励攻击者模仿你试图显示的那些迹象 这实际上是一个非常基本的安全原则,只有通过教育用户才能解决(在这方面,试图让他们检查错误的东西可能导致弊大于利) 引用一句话:“如果你必须问“这条线路安全吗?”,那么答案是“不” 你在网站上做的任何事情都可能是伪造者所能做的 想象一种情况,你确实可以点击,并有一些弹出显示网站安全网站那里,然后。这需要非常敏锐的用户才能找到真正的浏览器对话框和假弹出窗口的迹象 用户最终有责任检查是否使用了HTTPS以及是否正确使用了HTTPS
这是一个更普遍的安全问题,实际上并不特定于计算。如果客户冒充合法银行的名字走进假银行存款,合法银行对此无能为力。只有用户才能在进入大楼时进行任何必要的验证 从安全性的角度来看,您试图显示的信息不应由您访问的网站控制。这些验证必须由浏览器本身完成,才能发挥任何作用,否则伪造这些验证将是微不足道的 混淆来自浏览器和来自网站的用户界面通常不利于安全。(这就是为什么必须有特定于浏览器的UI组件,而这些组件是网站无法伪造的,否则会带来安全风险。) 您可以做的下一件最好的事情是尝试总体上教育您的用户:例如,show是一个快速教程,向您的用户解释如何在他们的浏览器中检查证书。如果真的发生了攻击,这一点都没有帮助,但从长远来看,这是有帮助的。当银行不断告诉你“永远不要把你的PIN码或密码给任何人,我们的员工都不会要求他们”时,这就是银行使用的策略:这只是鼓励用户在某一天声称自己是员工的人试图获取这些详细信息时发出警报。银行将无法在用户和假银行员工之间做任何事情(因为它甚至不在那里),但至少它会尝试提前教育用户
从用户的角度来看,能够评估连接的安全性可能是一项棘手的工作,用户界面的更改并不总是有帮助的。您提到的另一个类似系统是外部安全封条,由许多CA提供。不幸的是,他们也不是一个好主意 另一方面。。。“提供查看与页面关联的证书的方法”确定?你试过我的例子吗?(例如在firefox上) 让我们试一下你的例子。我们不需要试一下上面的表格,就可以看到这样的印章,因为它就在那一页的底部。有一个徽标,上面写着“…安全,由…”驱动”,带有一个,它显示的信息表面上看起来令人放心,例如“本网站可以使用SSL证书保护您的私人信息。与以https开头的任何地址交换的信息在传输前都使用SSL加密。” 一切看起来都很好 现在,首先,我在一个以纯HTTP服务的页面上得到了封条,所以这肯定不能证明该页面本身的任何东西。让我们假设所有用户都清楚,只有在同一主机名上使用
https://