ব্যবহারকারী কোনও মিশ্রিত সামগ্রীর সতর্কতা ছাড়াই এইচটিটিপিএস সাইটে চিত্র অবদান রাখে

9

আমার একটি ফোরাম রয়েছে যেখানে বেশিরভাগ ফোরামের মতো ব্যবহারকারীরা ছবি পোস্ট করতে পারেন। আমি সাইট জুড়ে এইচটিটিপিএস স্থাপন করেছি, তবে অবশ্যই বেশিরভাগ বাহ্যিক চিত্রগুলি এইচটিটিপিএস ব্যবহার করে নয়, এইচটিটিপিএস ব্যবহার করে লিঙ্কযুক্ত। সুতরাং এইচটিটিপিএসের উপর ফোরাম লোড করা মিশ্র বিষয়বস্তুর সতর্কতা ইত্যাদি দেখায় etc.

এই সমস্যাটি মোকাবেলার জন্য কিছু কৌশল কী কী? কিছু চিত্র আমার নিজস্ব সাইট থেকে তাই আমি এই URL টি এইচটিটিপিএস ব্যবহার করতে আবার লিখতে পারি যেহেতু আমি জানি যে এটি কাজ করবে। তবে বাহ্যিক ইউআরএলগুলির জন্য অনেকে এইচটিটিপিএস দিয়ে কাজ করেন না তাই আমি কম্বল পুনর্লিখন করতে পারি না।

আমি ইনলাইন চিত্রগুলির পরিবর্তে লিঙ্কগুলিতে অন-সুরক্ষিত চিত্রগুলি আবার লিখতে পারি, তবে এটি দুর্দান্ত দেখাচ্ছে না এবং ব্যবহারকারীদের জন্য বিভ্রান্তিকর হতে পারে। এর থেকে আরও ভাল সমাধান?

https  images 
DisgruntledGoat
সূত্র
2
আপনি ব্যবহার করতে পারে Camo ...
wb9688
2
গুগল ইমেজ অনুসন্ধানের জন্য এটি সমাধান করে নি। চিত্র অনুসন্ধান "সুরক্ষিত নয়:" i.imgur.com/8XVTQsi.png
স্টিফেন অসটারমিলার
2
স্টিফেন অসটারমিলার
1
এর চেয়ে ভাল আমি জানি না, এবং এটি কপিরাইট আইন থেকে শুরু করে পুরোপুরি চলতে পারে, তবে একটি প্রযুক্তিগত সমাধান
হ'ল
1
দরিদ্র ম্যান উপায়: সংরক্ষণ / সম্পাদনা করার পরে আপনি যুক্তিটি প্রয়োগ করতে পারেন পরিবর্তে src="http://someimage.jpg"সম্পর্কিত কাঠামোর সাথে সম্পর্কিত সমস্ত ডেটা আবার লেখার জন্য src="//someimage.jpg"... বা কেবল এটি বৈধতা দিন। আপনি যদি কঠোর সবুজ লক চান (যেখানে কোনও অনিরাপদ চিত্র আপনার লকটি ছাপিয়ে যাবে) এইচএসটিএস প্রয়োগ করুন। তারপরে সম্পাদক ইন্টারফেসে একটি নোট করুন যে চিত্রগুলি বর্তমানে এইচটিটিপিএসের মাধ্যমে উপলব্ধ থাকতে হবে, অন্যথায় সেগুলি মোটেই প্রদর্শিত হবে না। "ওফস, আপনি একটি ত্রুটি করেছেন abuse অপব্যবহার এবং এমআইটিএম আক্রমণ প্রতিরোধ করতে, সমস্ত মিডিয়া অবশ্যই HTTPS ব্যবহার করতে পারে back ফিরে যান এবং এটি সংশোধন করুন, বা অন্য কোনও চিত্র সরবরাহকারী চয়ন করুন।"
ধৌপিন

উত্তর:

1

সুরক্ষিত পৃষ্ঠায় অনিরাপদ সংস্থান থাকা এবং মিশ্র সামগ্রীর সতর্কতা পাওয়া সম্ভব নয়।

এটি সমর্থনকারী ব্যবহারকারী এজেন্টদের জন্য, upgrade-insecure-requestsনির্দেশটি হ'ল https- র মাধ্যমে রিসোর্স লোড করার চেষ্টা বা ব্যর্থ চেষ্টা করার নির্দেশ।

অন্যান্য ব্যবহারকারী এজেন্টরা অনিরাপদ সংস্থানগুলি লোড করা অবিরত নির্দেশটিকে উপেক্ষা করবে।

এটি এবং অন্যান্য বিকল্পগুলি নিয়ে আলোচনা করা গুগল বিকাশকারীদের সাইটে এখানে একটি নিবন্ধ রয়েছে।

রবার্ট কে। বেল
সূত্র
1

ঠিক বুঝতে পেরেছি যে আমি কখনই আমার সমাধান পোস্ট করি নি। স্টিফেনের মন্তব্যে যে উত্তর দেওয়া হয়েছে তা হ'ল এটি আমার জন্য কী সমাধান করেছে। সংক্ষেপে, আমি একটি প্রক্সি স্ক্রিপ্ট তৈরি করেছি যা নিম্নলিখিতগুলি করে:

  1. চিত্রটি যদি https হয় তবে এটিকে একা ছেড়ে দিন।
  2. চিত্রটি যদি HTTP হয় এবং https সমর্থন করার জন্য পরিচিত কোনও সাইট থেকে (যেমন আমার নিজস্ব সাইট, imgur.com ইত্যাদি) তবে https এ পুনরায় লিখুন।
  3. অন্যথায় চিত্রটি যদি http হয় তবে এটি ব্যবহার করতে পুনরায় লিখুন http://example.com/imgproxy?img=ORIGINALURL&hash=KEY

তারপরে প্রক্সি স্ক্রিপ্টটি HTTP চিত্রটি নিয়ে আসে, স্থানীয়ভাবে এটি ক্যাশে করে এবং চিত্রের ডেটা আউটপুট করে। বারবার অনুরোধে এটি ক্যাশেড ডেটা সরাসরি আউটপুট করে। লিঙ্কযুক্ত এসও উত্তরটি সুরক্ষা হ্যাশ এবং অন্যান্য বিবরণ বর্ণনা করে।

DisgruntledGoat
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.