Chrome memperingatkan saya bahwa sambungan saya tidak aman saat mengautentikasi di SEDE dengan akun Google
Ketika saya pergi ke halaman login Stack Exchange Data Explorer di sini dan mengklik tombol Masuk menggunakan Google , saya tidak masuk tetapi disambut dengan pesan Chrome yang melindungi privasi saya:
Informasi yang akan Anda kirimkan tidak aman Karena situs menggunakan koneksi yang tidak sepenuhnya aman, informasi Anda akan terlihat oleh orang lain.
Saya cukup yakin ini berhasil kemarin tanpa menunjukkan peringatan itu kepada saya, jadi Chrome menjadi lebih ketat dalam semalam atau perubahan konfigurasi terjadi di SEDE karena revisinya masih pada 2020.8.27.79 (kapan permintaan tarik saya akan diterapkan?).
Ketika saya memeriksa lalu lintas jaringan di konsol pengembang, saya melihat:
- URL Permintaan POST:
https://data.stackexchange.com/user/authenticate- respon: 302 dengan tajuk lokasi:
https://accounts.google.com/o/oauth2/auth?client_id=[blah]&scope=openid+email&redirect_uri=http%3a%2f%2fdata.stackexchange.com%2f[more blah]&response_type=code
- respon: 302 dengan tajuk lokasi:
Dan kemudian panggilan berikutnya diblokir, ketika 302 dikembalikan (pembaca yang cermat melihat yang ini datang):
- DAPATKAN URL Permintaan:
https://accounts.google.com/o/oauth2/auth?client_id=[blah]&scope=openid+email&redirect_uri=http%3a%2f%2fdata.stackexchange.com%2f[more blah]&response_type=code- Tanggapan 302: Lokasi:
http://data.stackexchange.com/user/oauth/google?state=[blah]&code=[more blag]&scope=email+openid+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fuserinfo.email&authuser=0&prompt=none
- Tanggapan 302: Lokasi:
Header lokasi terakhir tersebut menggunakan protokol HTTP, bukan protokol HTTPS.
Bisakah ini diubah sehingga rute POST di / pengguna / otentikasi menggunakan protokol aman dan bukan HTTP biasa?
Saya entah bagaimana berharap baris ini di AccountController.cs akan mengembalikan sesuatu yang berbeda sekarang:
private string BaseUrl => Current.Request.Url.Scheme + "://" + Current.Request.Url.Host;
karena BaseUrl itu ditambahkan sebagai di redirect_uri sini
Jika proxy upstream mengambil alih pembongkaran SSL, kemungkinan besar Current.Request.Url.Schemeprotokol HTTPS saya tidak lagi dikembalikan. Tapi mungkin penyebab lain membuat skema itu tidak seperti dulu lagi.
Tampaknya saya satu-satunya yang dapat mereproduksi ini di Chrome dan meskipun ini hanya lokal untuk mesin saya, tampaknya masih merupakan saran yang baik untuk terlebih dahulu memperbaiki potensi risiko keamanan daripada menunggu hal-hal disalahgunakan.
Jika saya menerima risiko dan melanjutkan, maka saya berhasil masuk.
Jawaban
Sebuah memperbaiki ini telah dikerahkan - terima kasih untuk laporan dan mata pada PR juga!
Catatan: ya, seperti yang Anda duga, kami menghentikan TLS di penyeimbang beban dan bit bersih ASP bawaan tidak membaca header dengan benar di belakangnya. Di .NET Core, ini diselesaikan, tetapi Stack Exchange Data Explorer belum melakukannya dan kami tidak memiliki waktu yang dialokasikan untuk melakukan pekerjaan itu pada saat ini.
Direproduksi oleh saya.
Pertama ketika saya mendaftar menggunakan Google semuanya berjalan dengan baik.
Saya kemudian keluar, dan ketika masuk menggunakan akun Google yang baru saja terdaftar disambut oleh pesan berikut (dalam bahasa Belanda):
De gegevens die je wilt sturen, zijn niet beveiligd Omdat de site een verbinding gebruikt die niet volledig is beveiligd, zijn je gegevens zichtbaar voor anderen.
Yang merupakan pesan yang sama seperti yang diposting Rene di Pertanyaan.
Menggunakan Chrome di Android.
Direproduksi oleh saya juga. Tidak hanya login Google yang stroppy, mengklik tombol "Login using Stack Overflow" juga memunculkan kesalahan ini:
Masuk atau keluar dari akun Google saya.