browser - son - Encontrar todo el contenido inseguro en una página segura
partes de esta pagina no son seguras como imagenes (9)
Pruebe: www.WhyNoPadlock.com Le dará un informe de todo el contenido inseguro en cualquier página web https.
¿Cuál es la forma más eficiente de encontrar una lista de todas las URL no HTTPS solicitadas por una página HTTPS? Si ocurre este tipo de violación de la seguridad, cada navegador alerta al usuario, pero no puedo encontrar una manera fácil de encontrar qué URL exactas causan la infracción.
La forma más fácil que he encontrado hasta ahora es utilizar Firefox, pero incluso así todavía no es muy conveniente. Primero, puedo hacer clic con el botón derecho, seleccionar Ver información de página, hacer clic en la pestaña Medios y desplazarme por una lista de URL. Sin embargo, esto parece solo mostrar los archivos de imagen, no CSS o JS incluye que también pueden causar el error. Para ellos, tengo que usar la extensión Firebug, seleccionar la pestaña de Red y mover manualmente el mouse sobre cada elemento para ver la URL completa. Desafortunadamente, esto puede demorar un tiempo si tienes docenas de archivos multimedia. ¿Hay una mejor manera?
Puedes usar SslCheck
Es una herramienta en línea gratuita que rastrea un sitio web recursivamente (siguiendo todos los enlaces internos) y escanea en busca de contenido no seguro: imágenes, scripts y CSS.
(descargo de responsabilidad: soy uno de los desarrolladores)
Si posee el sitio web, debe consultar las opciones de encabezado Content-Security-Policy
. Estos pueden incluir forzar HTTPS en los recursos, o intentar automáticamente redireccionar los recursos HTTP a HTTPS, entre otras cosas.
En particular, también hay una directiva de report-uri
para el Content-Security-Policy-Report-Only
estrechamente relacionado que informa las infracciones de su CSP a un uri de su elección. Esto significa que cualquier navegador con soporte 1 para report-uri
le enviará informes de páginas en su sitio con HTTPS problemático de forma continua. Mozilla Developer Network tiene un ejemplo de PHP para manejar los informes.
1 Tenga en cuenta que si razonablemente puede esperar que cualquier navegador con soporte completo de CSP (RO) acceda a las páginas en cuestión, no importa que algunos navegadores no lo admitan.
Solo quiero dejar una nota sobre lo que me sucedió cuando surgió este problema.
De repente, mi dominio mostró "Elementos mixtos: inseguros". No pude encontrar la causa en absoluto. La consola solo mostraba que se estaba solicitando una imagen: http://www.example.com/
, que no pude encontrar en ninguna parte .
Busqué y busqué y finalmente encontré que en la pestaña Seguridad de Chrome, donde se mostraba ''Contenido inseguro'', decía ''Mostrar en pestaña de red''. Cuando hice clic en eso, nuevamente me mostró la URL incorrecta, sin información aparte de la columna Initiatior . Mostraba la imagen footer_bg.jpg
.
¿Me había preguntado si alguien me había inyectado un código en la imagen de fondo de mi pie de página? Resulta que no, ayer moví esa imagen sin querer y me olvidé de ella. Entonces la página solicitaba una imagen que no estaba allí y devolvía un error. Repare el enlace a la imagen y la página se carga de forma segura nuevamente.
Solo para cualquier otra persona que posiblemente tenga este problema en el futuro.
Tenga en cuenta que, en las versiones recientes de Chrome, estos errores se mostrarán en la Consola de Javascript.
p.ej
The page at https://mysecuresite.com displayed insecure content from http://unsecuresite.com/some.jpg.
Tuve este problema que ocurrió en un javascript:
/* for Internet Explorer */
/*@cc_on @*/
/*@if (@_win32)
document.write("<script id=__ie_onload defer src=javascript:void(0)><//script>");
(.....)
El src = javascript: void (0) debe evitarse.
No puedes encontrar este problema usando Fiddler o Chrome.
Use Fiddler.
Las solicitudes seguras no se mostrarán en absoluto (excepto como CONEXIONES HTTPS, que pueden estar ocultas), por lo que todo lo que verá es malo.
Utilice Burp Suite , configure el alcance como su sitio web, vaya a la página segura y verifique qué solicitud se realiza a la versión HTTP de su sitio web.