in

seguridad: cuando usa ‘badidea’ o ‘thisisunsafe’ para omitir un certificado de Chrome / error HSTS, ¿solo se aplica al sitio actual?

apple touch icon@2

Esto es específico para cada sitio. Entonces, si escribe eso una vez, solo pasará por ese sitio y todos los demás sitios necesitarán un tipo de escritura similar.

También se recuerda para ese sitio y tienes que hacer clic en el candado para resetearlo (para que puedas volver a escribirlo):

ingrese la descripción de la imagen aquí

No hace falta decir que el uso de esta «función» es una mala idea y no es seguro, de ahí el nombre.

Debe averiguar por qué el sitio muestra el error y / o dejar de usarlo hasta que lo solucionen. HSTS agrega específicamente protecciones para malos certificados para evitar que haga clic en ellos. El hecho de que sea necesario sugiere que hay algún problema con la conexión https, como si el sitio o su conexión hayan sido pirateados.

Los desarrolladores de Chrome también cambian esto periódicamente. Lo cambiaron recientemente de badidea para thisisunsafe para que todos usen badidea, de repente dejó de poder usarlo. No deberías depender de ello. Como señaló Steffen en los comentarios a continuación, está disponible en el código en caso de que cambie de nuevo, aunque ahora lo codifican en base64 para hacerlo más oscuro. La última vez que cambiaron pusieron este comentario en el compromiso:

Rotar la palabra clave de omisión intersticial

La palabra clave de omisión de intersticiales de seguridad no ha cambiado en dos años y se ha incrementado la conciencia de la omisión en blogs y redes sociales. Gire la palabra clave para ayudar a prevenir el uso indebido.

Creo que el mensaje del equipo de Chrome es claro: no debes usarlo. No me sorprendería que lo eliminaran por completo en el futuro.

Si está usando esto cuando usa un certificado autofirmado para pruebas locales, ¿por qué no simplemente agrega su certificado de certificado autofirmado al almacén de certificados de su computadora para obtener un candado verde y no tener que escribir esto? Nota Chrome insiste en una SAN campo en certificados ahora, así que si solo usa el antiguo subject campo, incluso agregarlo al almacén de certificados no dará como resultado un candado verde.

Si no confía en el certificado, algunas cosas no funcionan. El almacenamiento en caché, por ejemplo, se ignora por completo para los certificados que no son de confianza.. Como es HTTP / 2 Push.

HTTPS está aquí para quedarse y debemos acostumbrarnos a usarlo correctamente, y no eludir las advertencias con un truco que puede cambiar y no funciona igual que una solución HTTPS completa.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

html

Tutorial HTML

gfg 200x200 min

Programa de Python para verificar si una cadena es palíndromo o no