চিত্রের কারণে এইচটিটিপিএস সংযোগটি "নিরাপদ নয়"


14

আমি বর্তমানে একটি ওয়েবসাইটে কাজ করছি এবং আমি আমার এসএসএল শংসাপত্রটি সফলভাবে ইনস্টল করেছি।

জিও ট্রাস্ট এসএসএল / টিএলএস পরীক্ষক নিশ্চিত করেছেন যে শংসাপত্র শৃঙ্খলা (সিএ সহ) সঠিকভাবে ইনস্টল করা আছে। Chrome এ সমস্ত কিছু সূক্ষ্ম দেখায় তবে আমার প্যাডলক সবুজ নয় এবং ফায়ারফক্সে এটি প্রকৃতপক্ষে জানিয়েছে যে ওয়েবসাইটটি নিরাপদ নয় কারণ এতে এনক্রিপ্ট করা উপাদান রয়েছে।

এটি কেন তা পরীক্ষা করতে আমি একটি অনলাইন পরিষেবা ব্যবহার করেছি এবং এটি প্রমাণিত হয়েছে যে সত্যই আমার চিত্রগুলি নিরাপদ ইউআরএল হিসাবে বিবেচিত হয় না। আমি কীভাবে এই পরিস্থিতিটি মোকাবিলা করব, আমি কীভাবে নিরাপদে আমার ওয়েবসাইটে চিত্রগুলি এম্বেড করব?

উত্তর:


32

আপনার ইমেজ ট্যাগগুলি বর্তমানে দেখতে হবে:

<img src="http://example.com/images/image.jpg">

এর httpঅর্থ এই যে চিত্রটি নিরাপদে সরবরাহ করা হয়নি। কোনও আক্রমণকারী চিত্রটিকে ট্রানজিটে পরিবর্তন করতে পারে এবং এর ফলে আপনার অন্যথায় সুরক্ষিত পৃষ্ঠাটি আপনার ব্যবহারকারীদের কাছে কীভাবে দেখায় তা পরিবর্তন করতে পারে।

পরিবর্তে আপনি নিরাপদে চিত্রগুলি পরিবেশন করতে নিম্নলিখিত যে কোনওটি ব্যবহার করতে পারেন:

  • httpsস্পষ্টভাবে লিঙ্ক :<img src="https://example.com/images/image.jpg">
  • আপনার নিজের ডোমেনে চিত্রগুলির সাথে সম্পর্কিত সম্পর্কিত ব্যবহার করুন: <img src="/images/image.jpg">
  • অন্যান্য ডোমেন থেকে চিত্র ব্যবহার করতে প্রোটোকল আপেক্ষিক লিঙ্ক ব্যবহার করুন: <img src="//example.com/images/image.jpg">

সুস্পষ্ট httpsচিত্র সর্বদা সুরক্ষিতভাবে পরিবেশন করবে (পৃষ্ঠাটি সুরক্ষিতভাবে পরিবেশিত না হলেও) অপেক্ষাকৃত লিঙ্কিং কেবলমাত্র পৃষ্ঠাটি নিরাপদে পরিবেশন করা হলে চিত্রটি সুরক্ষিতভাবে পরিবেশন করবে।

ফায়ারফক্স এবং ক্রোমে আপনি প্যাডলকে ক্লিক করতে পারেন এবং সমস্যা সম্পর্কে আরও তথ্য পেতে পারেন। এটি করার পরে, এখানে ফায়ারফক্সের একটি স্ক্রিন শট রয়েছে যা পৃষ্ঠায় সমস্ত চিত্রের একটি তালিকা দেখায়। তালিকাটি স্ক্যান করা এবং কোনটি দেখুন তা সহজেই http:


2
"একজন আক্রমণকারী ট্রানজিটে চিত্রটি পরিবর্তন করতে পারে এবং এর ফলে আপনার অন্যথায় সুরক্ষিত পৃষ্ঠাটি আপনার ব্যবহারকারীদের কাছে কীভাবে দেখায় তা পরিবর্তন করতে পারে।" - অথবা এমনকি রেন্ডারারে একটি দুর্বলতা ট্রিগার করে।
জন ডিভোরাক

2
এবং হাইজ্যাক কুকিজ, যার মধ্যে অ্যাক্সেস টোকেন অন্তর্ভুক্ত থাকতে পারে।
দারখোগ

এটি এমনটি করার মতো পরামর্শ দেওয়া হচ্ছে বলে মনে হয়। আপনাকে ধন্যবাদ আমি আমার সবুজ প্যাডলকটি পরিচালনা করতে পেরেছি তবে একটি বন্ধু বলেছে যে এনক্রিপ্ট করা চিত্রগুলি পৃষ্ঠাটি ধীর করতে পারে। এটা কি আমার ক্ষেত্রে ইস্যু?
এমটিআই

3
এনক্রিপশনে অবশ্যই কিছু ওভারহেড রয়েছে, তবে এটি সাধারণত আজকাল 10% এর বেশি নয়। সেই পারফরম্যান্স পেনাল্টি (এমনকি চিত্রগুলির জন্যও) আপনাকে কোনও সুরক্ষিত সাইটের জন্য মূল্য দিতে হয়।
স্টিফেন অসটারমিলার

নির্দিষ্ট ইউআরএলটিতে অনিরাপদ সংস্থানগুলি দ্রুত চিহ্নিত করার জন্য কেন nopadlock.com হ'ল একটি কার্যকর সরঞ্জাম।
ভিল

5

সমস্যাটি হ'ল আপনার পৃষ্ঠাটি https এর বিপরীতে কোনও HTTP অবস্থান থেকে লিঙ্কগুলি সরবরাহ করছে। চিত্রগুলির মতো রেফারেন্স রিসোর্সে নিখুঁত লিঙ্কগুলি ব্যবহার করার কারণে এটি। দুটি আরও ভাল পদ্ধতি রয়েছে যা আপনাকে HTTP বা https দুটিতে লিঙ্কগুলি রেফারেন্স করতে সক্ষম করবে এবং এই সমস্যাটি এড়াবে।

আপনার এই লিঙ্কগুলি সন্ধান করতে এবং এগুলিকে এইগুলিতে পরিবর্তন করতে হবে:

  1. আপেক্ষিক লিঙ্ক: যেমন।/wp-content/yourtheme/images/image1.jpg
  2. অথবা // হিসাবে ডোমেনের সামনের দিকে রাখুন এটি//example.com/wp-content/wp-content/yourtheme/images/image1.jpg তারপরে যে কোনও অনুরোধ করা হয়েছিল তার উপর ভিত্তি করে এই সংস্থানগুলিকে HTTP বা https এ পরিবেশন করবে।

ক্রোম এবং ফায়ারফক্স উভয় ক্ষেত্রে আপনি প্যাডলক আইকনটি ক্লিক করতে পারেন এবং তারপরে আক্রমণাত্মক নিরাপত্তাহীন লিঙ্কগুলির একটি তালিকা দেখতে ক্লিক করতে পারেন। এবং যদি আপনি ব্রাউজারে হাইলাইট করা কোনও চিত্র বা অন্যান্য সংস্থানগুলি দেখতে না পান তবে ত্রুটি পেতে থাকেন তবে আপনি আবিষ্কার করতে পারেন যে একটি জাভাস্ক্রিপ্ট কল রয়েছে যা HTTP এর মাধ্যমে লিঙ্কগুলি একদম রেফারেন্স করছে


2
//শুরুতে উত্তর-স্ট্যান্ডার্ড এবং লিংক্সের মতো ব্রাউজারগুলি অভিযোগ করবে।
মীরাবিলোস

2
@ মিরাবিলোস আরএফসি 1808 ইউআরএলগুলির জন্য মানক এবং প্রবন্ধ 2.4.3 //বিভাগে প্রোটোকল আপেক্ষিক লিঙ্কগুলি (শুরু করে ) নির্দিষ্ট করে । মান এখন 15 বছর বয়সী এবং সব প্রধান ব্রাউজার দ্বারা বাস্তবায়িত হয় Lynx সহ
স্টিফেন Ostermiller

# মিরাবিলোস আপনার প্রস্তাবিত গুগল সংগ্রহস্থল লিঙ্কগুলি পরীক্ষা করুন। আপনি দেখতে পাবেন গুগল এগুলি বহু বছর ধরে ব্যবহার করছে।
শে

1

এটা সত্যিই বেসিক। আপনি যখন এসএসএল (https) এর উপরে পরিবেশন করা ওয়েবসাইটগুলি তৈরি করছেন তখন আপনার কোডের কোনও রেফারেন্স যা https- র সাথে পূর্ববর্তী নয়, সুরক্ষা সতর্কতাগুলি ছুঁড়ে দেবে - লিঙ্কগুলি ব্যতীত অন্য। মনে রাখবেন যে বেশিরভাগ (সমস্ত) ব্রাউজারগুলি HTTP- র সাথে সম্পর্কিত ডিফল্টও থাকে। সুতরাং আপনি যদি /uploads/12/5/img.jpg বা /js/jquery.js উল্লেখ করেন তবে ট্রান্সফার প্রোটোকলটি ডিফল্ট হয়ে যাবে http - যা সত্যিই বিরক্তিকর।

সমস্ত ব্রাউজার সতর্কতাগুলি একটু অন্যরকম পরিচালনা করে তবে আপনি কোনও ধরণের বার্তা পাবেন। একটি সাধারণ বিবৃতিটি হ'ল নতুন ব্রাউজারটি যত তীব্র বার্তাটি তত তীব্র হবে। কিছু পুরানো ব্রাউজারগুলি ব্যবহারিকভাবে এই ত্রুটিগুলি উপেক্ষা করে থাকে যখন নতুন ব্রাউজারগুলি অনুপস্থিত "গুলি" এর কারণে আপনার পৃথিবীর আক্রমণে পড়ার মতো আচরণ করতে পারে।


10
"বেশিরভাগ (সমস্ত) ব্রাউজারগুলি HTTP- র ডিফল্ট সম্পর্কিত লিঙ্কগুলিও আছে" এরর, কী? সম্পূর্ণরূপে সমস্ত ব্রাউজারগুলি যদি না ভাঙা যায় তবে আপনি যদি নতুনভাবে স্পষ্টভাবে নির্দিষ্ট না করেন তবে বর্তমান প্রোটোকল ব্যবহার করবেন।
ওলেগ ভি। ভোলকভ

5
ওলেগ ঠিক বলেছেন; এটি "বিরক্তিকর" নয়: এটি সম্পূর্ণ ভুল।
মনিকার সাথে লাইটনেস রেস

3
এটি সম্পূর্ণ ভুল। এই উত্তর উপেক্ষা করুন।
martijnve

@martijnve - আমার উত্তরটি কীভাবে ভুল?
ফাঁকা চাপ

4
@ ব্লানকিপ ওলেগ ভি। ভোলকভসের মন্তব্য দেখুন। HTTP অন্তর্ভুক্ত করে এমন কোনও রেফারেন্স ভুল। অন্য সব ঠিক আছে। (প্রোটোকল আপেক্ষিক, ডোমেন আপেক্ষিক, পথ সম্পর্কিত)। এবং আপনার যাইহোক প্রায় সব ক্ষেত্রে আপেক্ষিক লিঙ্কগুলি ব্যবহার করা উচিত।
martijnve

1

আপনি যদি আপনার ওয়েবপৃষ্ঠায় এসএসএল সক্রিয় করার পরে চিত্রগুলি প্রদর্শন করতে অক্ষমতার বিষয়টি আসে তখন এই পরামর্শগুলির কোনওটি যদি সহায়তা না করে, তবে সিপ্যানেলের সুরক্ষা বিভাগের অধীনে হটলিংকের জন্য সিপানেলের সেটিংসের ক্ষেত্রে কেবল পরীক্ষা করুন। এটি খুব সম্ভব যে এই সেটিংটিতে আপনার নিম্নলিখিতগুলি রয়েছে: http://example.comএবং http://www.example.comএর httpsসংস্করণ সক্ষম না থাকা অবস্থায় চিত্রগুলিতে অ্যাক্সেসের অনুমতি দেওয়ার জন্য সক্ষম হন।


-4

আপনার সেমি / ওয়ার্ডপ্রেস / ম্যাজেন্টো বা আপনি ব্যবহার করছেন এমন অন্য কোনও প্ল্যাটফর্মে আপনার সুরক্ষিত ইউআরএল প্রোটোকল কনফিগারেশন পরীক্ষা করে দেখুন। আপনি আপনার কিছু চিত্র ট্যাগও ভাগ করতে পারেন, তবে প্রাথমিক img src চিত্রগুলি এ জাতীয় ত্রুটি দেয় না।

চিত্র ট্যাগ কাঠামো গুরুত্বপূর্ণ, তবে আপনার প্রশ্নের ফোকাসটি আমি মনে করি এটি আপনার সাইটে ইনস্টল করা এসএসএল শংসাপত্রের "টাইপ" এর সাথে সম্পর্কিত। একটি ব্যক্তিগত কেস আমার সাথে "স্ট্যান্ডার্ড গোডাডি এসএসএল শংসাপত্রের সাথে ঘটেছিল।

আপনি ফায়ারফক্সে একটি সতর্কতা আইকনটি দেখতে পাবেন (বিশেষত) ইউআরএল অনুসন্ধান বারে, বলেছেন যে আপনার সাইটে কোনও সুরক্ষিত চিত্র বা উপাদান থাকতে পারে। যতদূর আমি জানি যে এটি ফায়ারফক্স কীভাবে শংসাপত্র সম্পর্কে তথ্য প্রক্রিয়াকরণ করে, বা এতে অন্তর্ভুক্ত তথ্য। সাফারি, ক্রোম বা অন্যান্য ব্রাউজারগুলিতে এটি হয় না। আমি এর জন্য একটি সমাধান পেয়েছি, "স্ট্যান্ডার্ড এসএসএল" "একটি প্রিমিয়াম এসএসএল শংসাপত্র বা ইভিসি বর্ধিত বৈধতা শংসাপত্র " এর পরিবর্তে ইনস্টল করেছিলাম যার সাইটস সংস্থা সম্পর্কে আরও বিশদ তথ্য রয়েছে। আপনি একটি সবুজ প্যাডলক নিরাপদ url বার পাবেন।

তবে প্রিমিয়াম এসএসএল শংসাপত্রটি এক বছরে প্রায় $ 150- $ 200 মার্কিন ডলার হতে পারে কিছুটা ব্যয়বহুল।

এখানে চিত্র বর্ণনা লিখুন


5
এটি সত্য নয় কারণ: 1) <img src = "..."> ট্যাগগুলি সত্যই এই ধরণের ত্রুটি দিতে পারে , আপনি যদি কোনও এইচটিটিপি ইউআরএল প্রবেশ করেন (এইচটিটিপিএস ইউআরএলের বিপরীতে) এবং ২) প্রত্যয়ন বা ধরণের প্রকার এটি প্রক্রিয়াজাত হওয়ার সাথে এর সাথে একেবারেই করার কিছু নেই
এফএনকে

আমি img src গ্লোবাল মিডিয়া ট্যাগ যেমন {{Media url = "path / to / image.jpg"} s এসএসএল প্রোটোকলের সাথে বা ছাড়াই ব্যবহার করি এবং আমি কোনও ত্রুটি পাই না। উপায় দ্বারা আমি স্টিফেনের ফায়ারফক্সের এসএসএল ত্রুটি প্রদর্শিত। শুভেচ্ছা।
গাইও রূটস

3
আপনি যদি আপেক্ষিক ইউআরএল ব্যবহার করেন তবে কোনও সমস্যা নেই, কারণ তারা আপেক্ষিক। দয়া করে অন্য উত্তরটি পড়ুন। আমি জানি আপনি স্টিফেনের ত্রুটির কথা উল্লেখ করছেন। শংসাপত্রের ধরণেরগুলির সাথে এখনও কিছু করার নেই।
fNek

শংসাপত্রের ধরণের তথাকথিত 'মিশ্র-সামগ্রী সতর্কতা' তে কোনও প্রভাব নেই। এছাড়াও, আজকাল সমস্ত আধুনিক ব্রাউজারগুলি লক আইকনটি দেখাতে অস্বীকার করে কিছু স্পষ্টভাবে অন্যদের সতর্কতা প্রদর্শন করে।
মার্টিজন হিমেলস
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.