Wanneer u ‘Badidea’ of ‘Thisisunsafe’ gebruikt om een ​​Chrome-certificaat / HSTS-fout te omzeilen, is het alleen van toepassing op de huidige site?

Soms en vooral heel vaak staat u bij het ontwikkelen van een Web-Application Chrome niet in staat om bepaalde sites te bezoeken en het gooien van certificaat / HSTS-fout. Ik heb ontdekt dat het typen badidea(recentere thisisunsafe) in Chrome-venster vertelt Chrome om certificaatvalidatie over te slaan.

werkt deze oplossing alleen voor een specifieke site, of zal Chrome Certificate / HSTS-fouten voor alle sites negeren nadat ik dit zoekwoord heb gebruikt?


Antwoord 1, Autoriteit 100%

Dit is specifiek voor elke site. Dus als u dat eenmaal typt, krijgt u alleen door die site en hebben alle andere sites een vergelijkbaar type nodig.

Het wordt ook onthouden voor die site en u moet op het hangslot klikken om het te resetten (zodat u deze opnieuw kunt typen):

Onnodig om te zeggen dat het gebruik van deze “functie” een slecht idee is en is onveilig – vandaar de naam.

U moet erachter komen waarom de site de fout en / of stop deze te gebruiken totdat ze het oplossen. HSTS voegt specifiek beveiligingen toe voor Bad Certs om te voorkomen dat u er doorheen klikt. Het feit dat het nodig is, suggereert dat er iets mis is met de HTTPS-verbinding – zoals de site of uw verbinding met het is gehackt.

De Chrome-ontwikkelaars veranderen dit ook regelmatig. Ze hebben het onlangs gewijzigd van badideain thisisunsafe, dus iedereen die badideagebruikt, kan het plotseling niet meer gebruiken. Je moet er niet afhankelijk van zijn. Zoals Steffen opmerkte in de opmerkingen hieronder, het is beschikbaar in de codemocht het opnieuw veranderen, hoewel ze het nu coderen met base64 om het onduidelijker te maken. De laatste keer dat ze veranderden, hebben ze deze opmerking in de commitgeplaatst:

Het interstitial bypass-zoekwoord roteren

Het zoekwoord voor het omzeilen van interstitial voor beveiliging is in twee jaar niet gewijzigd
en het bewustzijn van de bypass is vergroot in blogs en social
media. Draai het zoekwoord om misbruik te voorkomen.

Ik denk dat de boodschap van het Chrome-team duidelijk is: je moet het niet gebruiken. Het zou me niet verbazen als ze het in de toekomst volledig zouden verwijderen.

Als u dit gebruikt wanneer u een zelfondertekend certificaat gebruikt voor lokale tests, waarom voegt u dan niet gewoon uw zelfondertekend certificaatcertificaat toe aan het certificaatarchief van uw computer, zodat u een groen hangslot krijgt en dit niet hoeft te typen? Opmerking Chrome dringt nu aan op een SAN-veld in certificaten, dus als alleen het oude veld subjectwordt gebruikt, zal zelfs het toevoegen ervan aan het certificaatarchief niet resulteren in een groen hangslot.

Als je het certificaat onbetrouwbaar laat, werken bepaalde dingen niet. Caching wordt bijvoorbeeld volledig genegeerd voor niet-vertrouwde certificaten. Net als HTTP/2 Push.

HTTPS is er om te blijven en we moeten eraan wennen om het op de juiste manier te gebruiken – en de waarschuwingen niet te omzeilen met een hack die aan verandering onderhevig is en niet hetzelfde werkt als een volledige HTTPS-oplossing.


Antwoord 2, autoriteit 12%

Ik ben een PHP-ontwikkelaar en om met een certificaat aan mijn ontwikkelomgeving te kunnen werken, kon ik hetzelfde doen door het echte SSL HTTPS/HTTP-certificaat te vinden en te verwijderen.

De stappen zijn:

  1. Typ in de adresbalk ‘chrome://net-internals/#hsts’.
  2. Typ het domein
    naam in het tekstveld onder “Domein verwijderen”.
  3. Klik op de knop ‘Verwijderen’.
  4. Typ de domeinnaam in het tekstveld onder “Zoek domein”.
  5. Klik op de knop “Query”.
  6. Uw antwoord zou “Niet gevonden” moeten zijn.

Je kunt meer informatie vinden op:
http://classically.me/blogs/how-clear-hsts-settings -grote-browsers

Hoewel deze oplossing niet de beste is, heeft Chrome momenteel geen goede oplossing. Ik heb deze situatie geëscaleerd met hun ondersteuningsteam om de gebruikerservaring te helpen verbeteren.

Bewerken: je moet de stappen herhalen elke keer dat je op de productiesite gaat.


Antwoord 3, autoriteit 4%

De SSL-fouten worden vaak veroorzaakt door netwerkbeheersoftware zoals Cyberroam.

Om je vraag te beantwoorden,

U Zal moet Badidea inchroom invoeren telkens wanneer u een website bezoekt.

U kunt soms meer dan eens invoeren, aangezien de site kan proberen om vóór belasting in verschillende bronnen in te trekken, waardoor meerdere SSL-fouten

Other episodes