Score:2

ฉันไม่แน่ใจว่าการรับรองความถูกต้องพื้นฐานบนเซิร์ฟเวอร์ของฉันได้รับการรักษาความปลอดภัยหรือไม่

ธง cn

นี่อาจเป็นคำถามที่โง่มาก แต่ฉันต้องทำให้แน่ใจว่าฉันสบายดีกับคำถามนี้

ฉันตั้งค่าเซิร์ฟเวอร์ HTTPS ด้วยการรับรองความถูกต้องพื้นฐาน แต่เบราว์เซอร์แจ้งฉันว่าการเชื่อมต่อไม่ปลอดภัยเมื่อฉันเชื่อมต่อกับหน้าการตรวจสอบสิทธิ์ และบอกฉันว่าการเชื่อมต่อนั้นปลอดภัยหลังจากที่ฉันลงชื่อเข้าใช้ ฉันต้องการทราบว่าสิ่งนี้ปลอดภัยหรือไม่ และถ้าไม่ฉันจะทำให้ปลอดภัยได้อย่างไร

กำหนดค่า (NGINX):

เซิร์ฟเวอร์ {
    ฟัง 80;
    server_name sub.example.com;

    ส่งคืน 301 https://$server_name$request_uri;
}

เซิร์ฟเวอร์ {
    ฟัง 443 ssl http2;
    server_name sub.example.com;

    ssl_ceerificate (ใบรับรอง);
    ssl_certificate_key (เส้นทางใบรับรอง);
    ssl_trusted_certificate (เส้นทางอื่น);
    ssl_dhparam (ธพาราม);

    ssl_protocols TLSv1.2 TLSv1.3;                                                                                                                                          
    เปิด ssl_prefer_server_ciphers;                                                                                                                                           
    ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA384
    ssl_ecdh_curve secp384r1;                                                                                                                                               
    ssl_session_timeout 10m;                                                                                                                                                
    ssl_session_cache ที่ใช้ร่วมกัน: SSL:10m;                                                                                                                                       
    ปิด ssl_session_tickets;                                                                                                                                                
    เปิด ssl_stapling;                                                                                                                                                        
    เปิด ssl_stapling_verify;                                                                                                                                                 

    add_header X-Content-Type-Options "nosniff" เสมอ;                                                                                                                     
    add_header X-Frame-Options "SAMEORIGIN" เสมอ                                                                                                                         
    add_header X-XSS-การป้องกัน "1; mode=block"                                                                                                                                                            

    ที่ตั้ง / {                                                                                                                                                    
        auth_basic 'ไม่มีอะไรให้ดูที่นี่';                                                                                                                                                                                                

        proxy_pass http://localhost:4000/;                                                                                                                     
    }
}

ภาพหน้าจอ

us flag
คุณได้ติดตั้งใบรับรองที่เหมาะสมหรือไม่?
Jungroy avatar
cn flag
@TeroKilkanen ใช่ ฉันได้ติดตั้งใบรับรอง Letsencrypt และ Chrome ก็รู้จักเช่นกันหลังจากที่ฉันลงชื่อเข้าใช้
digijay avatar
mx flag
คุณได้เพิ่มการรับรองความถูกต้องพื้นฐานให้กับโฮสต์ที่เข้ารหัสหรือที่ไม่ได้เข้ารหัส (พอร์ต 80) หรือไม่ โปรดแชร์ไฟล์กำหนดค่าของคุณ
Jungroy avatar
cn flag
@digijay ทุกคำขอ http จะถูกเปลี่ยนเส้นทางไปที่ https ดังนั้น auth พื้นฐานจึงอยู่บนเซิร์ฟเวอร์ https ฉันจะแชร์การกำหนดค่าให้เร็วที่สุด
Michael Hampton avatar
cz flag
ชื่อโฮสต์จริงคืออะไร
Michael Hampton avatar
cz flag
ใช่ เรา _prefer_ โพสต์ข้อมูลจริงทุกครั้งที่ทำได้ เนื่องจากทำให้การวินิจฉัยง่ายขึ้นมากในหลาย ๆ กรณี
Michael Hampton avatar
cz flag
ตัวอย่างเช่น: `curl: (7) ไม่สามารถเชื่อมต่อกับพอร์ต omv.jungroy.codes 443: การเชื่อมต่อถูกปฏิเสธ` เว็บเซิร์ฟเวอร์ของคุณไม่ทำงานหรือไม่ คุณลบการกำหนดค่า https หรือไม่
Jungroy avatar
cn flag
@MichaelHampton โอ้ ฉันปฏิเสธทั้งหมดยกเว้น IP ของฉัน ไม่อนุญาต
Jungroy avatar
cn flag
@MichaelHampton คุณสามารถขดได้แล้ว
Michael Hampton avatar
cz flag
ทุกอย่างดูเหมือนจะทำงานได้ดี
Jungroy avatar
cn flag
โอ้ ขอบคุณสำหรับการตรวจสอบ!
Score:3
ธง cz

การกำหนดค่าของคุณดูดี เป็นเบราว์เซอร์ที่ทำงานผิดปกติ

ไซต์ของคุณเปลี่ยนเส้นทางไปที่ https อย่างถูกต้อง และส่งคำขอตรวจสอบสิทธิ์พื้นฐานถึงคุณผ่าน https แต่เบราว์เซอร์ไม่ได้อัปเดตแถบที่อยู่ก่อนที่จะเปิดกล่องโต้ตอบขึ้นมา น่าสนใจ ฉันสามารถเห็นพฤติกรรมนี้ทั้งใน Chrome และ Firefox อาจเป็นเพราะเบราว์เซอร์ขอข้อมูลรับรองก่อน (จากมุมมองของมัน) การโหลดหน้าเว็บเสร็จสมบูรณ์ เป็นคำถามสำหรับนักพัฒนาเบราว์เซอร์

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา