Zertifikat hinzufügen Ausnahme in iframe

Habe ich ein Iframe, der eine URL enthält, ein selbst signiertes https-link. Im normalen Fall browser Fragen für Sie auf Ausnahme hinzufügen, über diesen link, aber im iframe ist es nicht erlaubt Sie auf Ausnahme hinzufügen. Es ist nur Aufforderungs-Fehler-code: sec_error_ca_cert_invalid. Eine Idee, wie man die Eingabeaufforderung für die add certificate exception in iframe bei self signed url ' s???

  • Dies wäre ein unglaublich schrecklich Massiv schlechte Sicherheits-Loch. Wenn man markieren KÖNNTE, ein iframe würde Seite als 'ignoriert alle ssl-Warnungen', was gäbe es zu stoppen jemand aus der framing jede Website, die Sie wollten. wenn Sie das tun können XSS-Angriffe auf eine Website mit einem echten cert, und fügen Sie ein "sicher" iframe, Sie könnten im wesentlichen die Identität des echten Seite ohne Problem. Was Sie wollen, ist unmöglich, und musste verdammt gut, nie möglich geworden.
  • Ich könnte verstehen, dass das Risiko, sondern die URL, die gerendert werden innerhalb des iframe fremde url, könnte ein selbst-signiertes Zertifikat oder es könnte auch ein self signed cert, Meine Forderung ist nicht 'ignoriert alle ssl-Warnung', SONDERN um die Wahl zu akzeptieren, die Ausnahme ist oder nicht die gleiche wie bei dieser URL öffnet sich in einem browser.
  • das ist nicht etwas, das Sie tun können, in html oder auf dem server. Sie können NICHT ändern der client security-Einstellungen über einen beliebigen remote-route. Wieder, das würd öffnen Sie unglaublich hässlichen Sicherheit Probleme.
  • Wie das selbst signiertes https-url sind anders, wenn es in iframe öffnen ? Wenn wir im browser öffnen, als es Fragen, für die Ausnahme und gehen, aber warum nicht Fragen Sie für die Ausnahme in iframe ? Ich denke, dass beides das gleiche Maß an Sicherheit betreffen ? entweder sollte beides nicht funktionieren, oder sollten beide funktionieren. Es ist parteiisch 😀
  • Ich weiß, dass es unmöglich ist, aber ich warte auf eine Antwort, die sagt, es ist möglich von einigen hack 🙂
  • Haben Sie versucht, indem Sie das Zertifikat dauerhaft in den browser keystore?
  • Ja, das ist eine option. Aber der Benutzer nicht bewusst über die link, die wiedergegeben wird, indem iframe, so dass er nicht wissen, welches Zertifikat er hat, hinzufügen.
  • Warum wollen Sie dies tun in den ersten Platz? Klar, das ist eine schlechte Idee für alle die bereits genannten Gründen, aber wenn Sie die post mehr info über das, was Sie versuchen zu erreichen (anstatt wie Sie versuchen, es zu tun), können wir vorschlagen, alternative Ansätze, das wäre sicherer.

InformationsquelleAutor Naveen Ramawat | 2014-05-05
  1. 6

    Ersten, der Unterschied zwischen der Aufforderung, für eine SSL Ausnahme für die root - Dokument in ein Fenster und ein Dokument in einem iframe ist eine wichtige Sicherheit Sorge. Sie beachten, der user ist sich nicht bewusst von der URL angezeigt wird (oder in diesem Fall, versuchen zu laden) in den iframe. Wenn der browser-Ausnahme-Mechanismus wurden im iframe angezeigt, die der Benutzer sehen, der browser-Adressleiste die URL des root - Dokument-auf eine ganz andere domain. Dies könnte zu Verwirrung bei den Nutzern und letztlich eine falsche und unsicher Wahl aus Sicht der Sicherheit.

    Sollten Sie nicht erwarten, zu finden ein hack/workaround, dass ändert sich dieses Verhalten in modernen Browsern.

    Sagte, dass, wenn ein iframe wird nicht angezeigt, die Aufforderung, die einfachste Problemumgehung ist, um eine Seite aus dem iframe-Domäne zu laden, als das Fenster Dokument-root und damit Auslöser der Eingabeaufforderung. Betrachten Sie die folgende Sequenz:

    1. Benutzeranforderungen www.example.com/entry
      • Server irgendwie entscheidet das "dynamische" host (eventuell) laden im iframe, nennen wir es www.dynamic.example
      • Server Leitet den browser zu einer bekannten URL auf die dynamische host: www.dynamic.example/redirect
    2. Browser des Benutzers Anfragen www.dynamic.example/redirect als eine normale Seite laden, als die root Dokument im browser-Fenster.
      • http://www.dynamic.example ein selbst-signiertes Zertifikat, damit der browser zeigt, was Warnung/Warnung/Aufforderung es in der Regel nicht für sec_error_ca_cert_invalid
      • Das ist ziemlich hässlich, von einem user experience Sicht, und wenn der Benutzer ablehnt fügen Sie eine lokale Ausnahme für das Zertifikat, alles bleibt hier.
      • Wenn Sie sich sicher sind, dass Benutzer das hinzufügen von Ausnahmen für die selbst-signiertes Zertifikat, dann auf diese Weise ...
    3. Browser des Benutzers lädt www.dynamic.example/redirect dieser Zeit akzeptieren die selbst-signiertes Zertifikat gemäß den Anweisungen des Nutzers.
      • Diese URL auf www.dynamic.example sollte sofort UMLEITEN zurück zu einem anderen, bekannten Ort auf www.example.com, sagen wir mal: www.example.com/pageWithIFrame
    4. Browser des Benutzers Anfragen www.example.com/pageWithIFrame
      • Diese Seite geladen wird, und enthält den iframe, das auf etwas auf www.dynamic.example
      • Da der Benutzer bereits akzeptiert www.dynamic.example's self-signed cert, die Inhalte in iframe dargestellt werden soll.

    Diese Lösung verwendet nur die HTTP-Umleitungen und erfordert nicht einen proxy-server oder löschen von SSL - /TLS-down auf plaintext HTTP. Es erfordert aber die Zusammenarbeit zwischen Ihrem Standort (www.example.com) und die anderen domains mit einem self-signed cert. Es wird nicht arbeiten, wenn andere Domäne bietet keine Möglichkeit zum umleiten an Sie zurück (z.B. die Einbettung von Inhalten ohne das domain-wissen).

    Die gleiche redirect-Kette funktioniert mit Websites, die certs signiert von einer vertrauenswürdigen ZERTIFIZIERUNGSSTELLE zu. In diesem Fall werden in Schritt 2 übergang zu Schritt 3 sofort ohne eingreifen des Benutzers.

    • Dies setzt Voraus, dass sowohl der Inhalt der mydomain.com und dynamic.com sind in der Steuerung des OP. In jedem Fall ist es eine nette Abhilfe.
    • Ich bin nicht einverstanden, dass die OP braucht "Kontrolle" beide Domänen; diese Sprache ist zu stark im Vergleich zu den tatsächlichen Bedarf. In Wirklichkeit, fast alle Fälle (und als Antwort ruft) einige Zusammenarbeit wird notwendig sein, für Sie zu arbeiten. Das könnte eine www.dynamic.com admin einrichten einer Umleitung in der server-config, oder ein nicht-admin die Fähigkeit, eine statische HTML-Datei in der Domäne SSL-geschützt URI-Raum mit einem <meta http-equiv="refresh"> tag. Und wenn der SSL-site passiert, dass "wider" leitet (d.h. GET /redirect?to=www.mydomain.com/...) ist es möglich, ohne jede änderung
    • Vereinbart, es sei denn dynamic.com Adresse ist die tatsächliche "dynamische" URL stammt aus einer 3rd-party und serviert von einem anderen 3rd-party - (denke payment gateway bietet die 3DS-bank-Seiten-URLs). Natürlich, in diesem Fall ist es wahrscheinlich nicht so kompliziert.
    • Fair Punkt, obwohl die OP ' s Frage sollte nie anwendbar sein, die in einem high-security-situation, wie es die bank/payment-Systeme. Solche Systeme sollten verlassen Sie sich nie auf ein selbst-signiertes Zertifikat. Ich Stimme zu (und hoffe), dass die OP ' s Fall ist nicht "das" kompliziert.
    InformationsquelleAutor William Price
  2. 2

    Gut, andere als die Bereitstellung einer angepassten Chrome/Firefox/Safari akzeptiert, selbst-signierte Zertifikate sind die einzigen Optionen, die Sie haben, ist:

    • zu Fragen, dem Benutzer das hinzufügen einer permanenten Zertifikat Ausnahme in seinem web-browser,
    • Fragen, die Dritte Partei zu zahlen, für ein gültiges Zertifikat.

    Es nichts, was Sie tun können HTML - /JavaScript-Weise auf "hack Ihren Weg durch".

    Bearbeiten

    Weitere option ist die Einrichtung eines proxy-Servers zwischen Ihrer Anwendung (IFRAME) und der Dritte server (z.B. Apache HTTP Server als Proxy). Es könnte entweder:

    1. Streifen von der SSL, d.h. umwandeln von Dritten HTTPS in lokales HTTP,
    2. eine fixed-point-HTTPS-URL, die ein Benutzer kann die white-list.

    Wenn Ihr webapp läuft in einem lokalen Tomcat-server (oder ähnliches) - z.B. http://tomcat:8080/app/ - die zweite option kann verbessert werden, indem die Apache-HTTP-Server als proxy, wie diese:

    ProxyPass /app/* http://tomcat:8080/app/*
ProxyPass /3rd/* https://third-party/*

    Müsste der Benutzer Zugriff auf nur eine URL - Apache-Proxy auf Standard-port 80 - http://tomcat/app/.

    • Dies ist eine Arbeit um, und derzeit bin ich schon dabei. aber ich erwarte eine andere Lösung, wo ich nicht Folgen, wie Schritte, da der IFrame-url dynamisch und end-Benutzer nicht bewusst über die URL.
    InformationsquelleAutor Cebence
Schreibe einen Kommentar