当前位置:首页 > 域名主机相关 > 正文内容

您的连接不是私密连接没有任然继续按钮

oozj2021-11-28域名主机相关1324

转自https://segmentfault.com/a/1190000040074507?utm_source=sf-similar-article

换了个电脑,chrome访问网站又遇到了“您的连接不是私密连接”的问题。之前遇到过几次,这次决定记录下来,免得下次遇到又是一顿搜索。

您的连接不是私密连接

升级chrome到最新版,无法打开自签名证书的网站了。如公司的堡垒机强制走https,但用的是自己签发的证书,这就悲剧了。
https://blj.jdb-dev.com/admin...

您的连接不是私密连接没有任然继续按钮 域名主机相关 第1张

解决办法有2种:

  1. 在当前页面输入:thisisunsafe,页面自动恢复。(这种方法可能会失效,这是chrome开发人员留的后门,以前是badidea,现在改为了thisisunsafe)

  2. 还一种办法是在console输入:

    sendCommand(SecurityInterstitialCommandId.CMD_PROCEED)

    详见这篇文章,解释的比较清楚:https://www.jianshu.com/p/7a7...

在现实生活中,怎么会遇到这种情况?

  1. 一个是在公司里,使用了公司的自签名证书,搞个https的访问地址。不过既然是内部网站,不走https岂不更简单。
    不过有例外情况,比如为了测试一些东西,网站必须走https。

  2. 另一种情况是,用charles之类的软件代理了浏览器。可以看到被代理后,访问任何网站使用了charles颁发的证书,看下百度:您的连接不是私密连接没有任然继续按钮 域名主机相关 第2张而且地址栏被标为不安全了。实际上charles在这里充当了中间人(即MITM)。
    这种情况除了用上面的办法解决,还有一种方式是让系统信任charles证书。mac系统下,在钥匙串里找到charles证书,设置为‘始终信任’,改下这里:
    您的连接不是私密连接没有任然继续按钮 域名主机相关 第3张

您的连接不是私密连接没有任然继续按钮 域名主机相关 第4张

"隐私设置错误"


使用 Chrome 访问某些网站时可能会遇到上面的情况。

点击 高级 按钮,有些场景下会有继续访问该网站的链接,点击后即可继续访问;但有些时候会出现如下界面,无法继续访问:

您的连接不是私密连接没有任然继续按钮 域名主机相关 第5张

"高级"


安全提示

除非你知道自己要访问的网站里面都包含什么,也清楚进去之后会产生什么后果,否则请立刻关闭此页面。

除非你知道自己要访问的网站里面都包含什么,也清楚进去之后会产生什么后果,否则请立刻关闭此页面。

除非你知道自己要访问的网站里面都包含什么,也清楚进去之后会产生什么后果,否则请立刻关闭此页面。

如何绕过

当出现如上图所示情况时,可在此页面中(点击页面空白处),录入 thisisunsafe,过程中不会有任何反馈,输入完毕,页面即可跳过 Chrome 的警告页,访问到网站页面。

怎么不好用

因为这是一个危险的行为,随时都有可能被废弃掉。

此行为包含在当前 Chromium master 分支的 interstitial_large.js 文件中:

  JAVASCRIPT1/**2 * This allows errors to be skippped by typing a secret phrase into the page.3 * @param {string} e The key that was just pressed.4 */5function handleKeypress(e) {6  // HTTPS errors are serious and should not be ignored. For testing purposes,7  // other approaches are both safer and have fewer side-effects.8  // See https://goo.gl/ZcZixP for more details.9  const BYPASS_SEQUENCE = window.atob('dGhpc2lzdW5zYWZl');10  if (BYPASS_SEQUENCE.charCodeAt(keyPressState) === e.keyCode) {11    keyPressState++;12    if (keyPressState === BYPASS_SEQUENCE.length) {13      sendCommand(SecurityInterstitialCommandId.CMD_PROCEED);14      keyPressState = 0;15    }16  } else {17    keyPressState = 0;18  }19}

BYPASS_SEQUENCE 即注释中提到的 secret phrase,从 console 中直接执行 window.atob('dGhpc2lzdW5zYWZl') 即可看到 Base64 解码后的明文:

  JAVASCRIPT1> window.atob('dGhpc2lzdW5zYWZl')2< "thisisunsafe"

从 Chromium 的提交记录中,我们也可以看到开发人员对此方式被滥用而感到的担忧:

2014 年这个 BYPASS_SEQUENCE 第一次被 提交 时:

  JAVASCRIPT1var BYPASS_SEQUENCE = 'danger';

2015 年专门针对此关键字进行了一次修改 Change the interstitial bypass keyword

  DIFF1- var BYPASS_SEQUENCE = 'danger';2+ var BYPASS_SEQUENCE = 'badidea';

2018 年 1 月 3 日 Change the interstitial bypass keyword

  DIFF1- var BYPASS_SEQUENCE = 'badidea';2+ var BYPASS_SEQUENCE = 'thisisnotsafe';

并在提交说明中描述了这么做的意义:

  TEXT1The security interstitial bypass keyword hasn't changed in two years and2awareness of the bypass has been increased in blogs and social media.3Rotate the keyword to help prevent misuse.

在 8 天之后再次 调整 此部分代码,将这个 keyword 进行了 Base64 编码以增加干扰:

  DIFF1- var BYPASS_SEQUENCE = 'thisisnotsafe';2+ // HTTPS errors are serious and should not be ignored. For testing purposes,3+ // other approaches are both safer and have fewer side-effects.4+ // See https://goo.gl/ZcZixP for more details.5+ var BYPASS_SEQUENCE = window.atob('dGhpc2lzdW5zYWZl');

随着时间的流逝,再次修改这个关键字也是很有可能的,所以当你看到这段文字时,上面的方法很有可能已经失效了。

如果你有不得已的苦衷,一定要绕过这个安全提示,可以尝试在安全提示页面,打开 console 直接输入:

  JAVASCRIPT1> sendCommand(SecurityInterstitialCommandId.CMD_PROCEED)

如何恢复

通过上述方式绕过安全提示之后,以后再次访问此网站时即可直接访问了。如果想恢复安全提示界面,可点击地址栏前面的 不安全 图标,并点击 重新启用警告功能,如下图:

您的连接不是私密连接没有任然继续按钮 域名主机相关 第6张

"重新启用警告功能"


参考资料


扫描二维码推送至手机访问。

版权声明:本文由千城笔记发布,如需转载请注明出处。

本文链接:http://oozj.org/32.html

分享给朋友:

相关文章

如何保存 gb688 GB库文件为PDF

http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno= F12打开控制台,输入PDFViewerApplication.save()即可下载...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。