Comment puis-je déterminer quelles sont les parties d'une page web sont cryptées et lesquels ne le sont pas?

Je travaille sur un serveur que je n'ai pas totalement mis en place et je suis à essayer de comprendre quelles sont les parties d'une page web sont envoyées cryptées et qui ne le sont pas. Firefox me dit que des éléments de la page sont cryptées, mais je veux savoir ce qui, précisément, est crypté.

Voir: stackoverflow.com/a/13760256/483588
double possible de découvrez ce que les ressources ne sont pas aller sur HTTPS

OriginalL'auteur Sam Hoice | 2008-11-20

  1. 9

    Pour chaque élément chargé dans la page, vérifiez leur régime:

    • il commence par HTTPS: il est crypté.
    • elle commence par HTTP: il n'est pas chiffrée.

    (vous pouvez voir une liste relativement complète sur firefox en cliquant-droit sur la page et en sélectionnant "Afficher les Info sur la Page" puis les "médias"de l'onglet.

    EDIT: FF n'affiche que des images et des éléments multimédias. Ils sont également les fichiers javascript & CSS ceux qui doivent être contrôlés. Et Firebug est un bon outil pour trouver ce dont vous avez besoin.

    Cela semble me faire une liste d'images, mais ce que sur les éléments de texte? Aussi sur le mien, il est appelé "Afficher les Info sur la Page".
    Les éléments de texte sont une partie de la page elle-même. Ils ne sont pas chargés séparément.

    OriginalL'auteur Pierre-Yves Gillier

  2. 11

    Le problème n'est pas toujours mauvais liens dans votre page.

    Si vous vous liez à iresources à un site externe à l'aide de https://, puis le site externe n'ses propres redirection HTTP vers des pages non SSL, qui va briser le SSL de verrouillage sur votre page.

    MAIS, quand vous l'affichage de la source ou de l'information dans l'onglet média, vous ne verrez pas de http://, parce que votre page est correctement en utilisant uniquement https://liens.

    Comme suggéré ci-dessus, l'onglet réseau de firebug et d'autres problèmes. Suivez ces étapes:

    1. Installer Firebug dans firefox si vous ne l'avez pas déjà, et de redémarrer FF lorsque vous y êtes invité.
    2. Ouvrir Firebug (F12 ou le petit insecte menu à droite de votre zone de recherche).
    3. Dans firebug, choisissez l'onglet "Net". Appuyez sur "Activer" (lien texte) pour l'allumer
    4. Actualiser votre page de problème sans utiliser le cache en appuyant sur Ctrl-Shift-R (ou Commande-shift-R dans OSX). Vous verrez le "Net" de l'onglet dans firefox remplir avec une liste de chaque requête HTTP en fait.
    5. Une fois que la page est fini de se charger, passez votre souris sur la gauche de la colonne de chaque requête HTTP indiqué dans l'onglet net. Une info-bulle apparaît, affichant le lien utilisé. il sera facile de repérer ceux qui sont http://au lieu de https://.
    6. Si l'un de vos liens a entraîné une redirection HTTP, vous verrez "301 moved permanently" dans la colonne d'état HTTP, et une autre requête HTTP sera juste en dessous pour le nouvel emplacement. Si le problème était dû à une redirection externe, c'est là la preuve sera - le nouvel emplacement de la demande sera HTTP.
    7. Si votre problème est dû à des redirections à partir d'un site externe, vous verrez "301 moved permanently" codes d'état pour les demandes qui pointent vers leur nouvel emplacement.
    8. Exapnd l'un de ceux 301 délocalisations avec le signe plus à gauche, et à examiner les en-têtes de réponse pour voir ce qui se passe. l'en-tête location: vous dira le nouvel emplacement du serveur externe demande navigateurs utilisent.
    9. Prendre note de cette info dans la redirection, puis envoyer un sympathique e-mail poli à l'extérieur du site en question et leur demander de supprimer la https://-> http://redirige pour vous. Expliquer comment il est en train de briser le SSL sur votre site, et idéalement inclure un lien vers la page qui est cassé, si possible, de sorte qu'ils peuvent voir l'erreur pour eux-mêmes. (ceci stimulera l'action plus rapide que si vous venez de leur dire au sujet de l'erreur).

    Voici un exemple de sortie de Firebug pour la redirection externe question.. Dans mon cas, j'ai trouvé une page appelant https://flux de données a été d'obtenir les flux réécrit par le serveur externe à l'adresse http://.

    J'ai renommé mon site "mysite.example.com" et le site externe "external.example.com" mais sinon, à gauche de la heders intacte. Les en-têtes de requête sont affichés en bas, en dessous des en-têtes de réponse. Notez que je m demande une https://lien de mon site, mais obtenir redirigé vers une adresse http://lien, qui est ce qui a été la rupture de mon SSL de verrouillage:

    Response Headers  
Server  nginx/0.8.54
Date    Fri, 07 Oct 2011 17:35:16 GMT
Content-Type    text/html
Content-Length  185
Connection  keep-alive
Location    http://external.example.com/embed/?key=t6Qu2&width=940&height=300&interval=week&baseAtZero=false

Request Headers
Host    external.example.com
User-Agent  Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1
Accept  */*
Accept-Language en-gb,en;q=0.5
Accept-Encoding gzip, deflate
Accept-Charset  ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection  keep-alive
Referer https://mysite.example.com/real-time-data
Cookie  JSESSIONID=B33FF1C1F1B732E7F05A547A9CB76ED3
Pragma  no-cache
Cache-Control   no-cache

    Donc, la chose importante à noter est que, dans les en-Têtes de Réponse (ci-dessus), vous voyez un Emplacement: qui commence par http://et non https://. Votre navigateur va prendre cela en compte lors de savoir si le verrou est valide ou non, et le rapport que partiellement le contenu chiffré! (C'est en fait un important la sécurité du navigateur disposent pour alerter les utilisateurs à des XSRF et/ou à des attaques par phishing.

    La solution dans ce cas n'est pas quelque chose que vous pouvez fixer sur votre site, vous devez demander le site externe pour arrêter leur redirection http. Souvent, cela a été fait sur le côté pour plus de commodité, sans se rendre compte de cette conséquence, et bien écrit, e-mail poli pouvez l'obtenir fixe.

    Grande info sur la façon de résoudre w/Firebug. Merci!

    OriginalL'auteur Professor Falken

  3. 2

    Certains éléments peuvent ne pas liste http ou https, dans ce cas, selon ce qui a été utilisé pour la page sera utilisée pour ces articles, c'est à dire si la page demandée est sous SSL puis ces images viendront chiffré alors que si la demande de page n'est pas sous SSL puis ceux-ci seront cryptés. Violoniste dans Internet Explorer peut également être utile dans le suivi de cette information.

    Très bonne suggestion! Fiddler fonctionne comme un proxy de Firefox et peut être dirigé à travers elle aussi bien... c'est juste un manuel de configuration de l'étape...

    OriginalL'auteur JB King

  4. 1

    Renifler les paquets qui vais vous dire vraiment rapide. WireShark est un bon programme pour une telle tâche.

    Je dois obtenir la permission de mon patron avant que je peut sniffer les paquets. Et je devrais être capable de le faire à partir d'un niveau plus élevé. Mais bonne suggestion!

    OriginalL'auteur Gavin Miller

  5. 1

    Peut firebug faire cela?

    Edit: Regarde comme firebug vais aussi le faire à l'aide de la "Net", qui vous donne également quelques autres statistiques intéressantes.

    OriginalL'auteur Sam Hoice

  6. 0

    Le meilleur outil que j'ai trouvé pour la détection http liens sur une connexion https est Fiddler. Il est aussi excellent pour de nombreuses autres opérations de dépannage.

    OriginalL'auteur Dscoduc

  7. 0

    J'utilise FF plugin HTTPFox pour cela.

    https://addons.mozilla.org/en-us/firefox/addon/httpfox/

    OriginalL'auteur Blackbird