Настройка #unsafely-treat-insecure-origin-as-secure в Chrome и Edge

Добрый день! Уважаемые читатели и гости сайта Pyatilistnik. В прошлый раз мы с вами научились обновлять ip адрес компьютера, локально и удаленно, что иногда может сильно выручать. Идем далее и сегодня я вас научу управлять политикой безопасности для незащищенных источников "unsafely-treat-insecure-origin-as-secure" в браузерах Google Chrome и Edge. Мы разберем примеры централизованного управления данными настройками в рамках домена.

Описание проблемы

Есть RDS ферма на которой пользователи работают с различными приложениями, одно из которых Directum. Проблема заключается в том, что в при попытке открыть ссылку в файле Exel, открывается Chrome, где он пытается обраться к серверу Directum по протоколу http выскакивает ошибка, о том что данный ресурс не безопасен и просто не открывает ее. Это оправдано, все сервисы предоставляющие веб доступ должны работать по 443 порту https, но в момент тестирования локального софта, у вас не всегда есть возможность выпустить сертификат. Обойти данное ограничение можно.

Как пишет проект Chromium: Несмотря на то, что за последние несколько лет был достигнут значительный прогресс в увеличении внедрения HTTPS в Интернете, все еще существуют миллионы сайтов, которые не поддерживают безопасные соединения через HTTPS, а это означает, что поддержка HTTP не исчезнет в обозримом будущем. Поскольку значительная часть просмотра веб-страниц может происходить только через HTTP, важно, чтобы мы принимали меры для защиты и информирования пользователей, когда мы не можем гарантировать безопасность их соединений.

Как локально отключить unsafely-treat-insecure-origin-as-secure в Chrome

У Chomium есть функция unsafely-treat-insecure-origin-as-secure, которая и управляет данным поведением. Эта политика позволяет указать разрешенные источники для устаревших приложений, которые не могут развернуть TLS, или настроить промежуточный сервер для внутренней веб-разработки, чтобы разработчики могли тестировать функции, требующие безопасного контекста, без необходимости развертывания TLS на промежуточном сервере.

Для того, чтобы отключить "OverrideSecurityRestrictionsOnInsecureOrigin" в Google Chrome вам необходимо открыть окно с флагами. Для этого в адресной строке введите:

Далее вы активируете данную опцию и вносите нужные адреса в данный список .если у вас их несколько, то они будут идти через запятую. Установка списка URL-адресов в этой политике имеет тот же эффект, что и установка флага командной строки '--unsafely-Treat-insecure-origin-as-secure' в список разделенных запятыми тех же URL-адресов. Если вы включите эту политику, она переопределит флаг командной строки.

Не забываем, что потребуется перезапустить Google Chrome, чтобы активировать работу #unsafely-treat-insecure-origin-as-secure. теперь все должно быть нормально.

Примеры заполнения данной опции:

• http://testserver.pyatilistnik.org/
• *.pyatilistnik.org

Еще один метод активации данной опции, это создание отдельного ярлыка на Chrome с дополнением его ключом при запуске. Вам необходимо открыть свойства ярлыка Chrome и добавить ключ --unsafely-treat-insecure-origin-as-secure="http://pyatilistnik.org" в самом конце поля "Объект". Должно получиться вот так:

Как локально отключить unsafely-treat-insecure-origin-as-secure через групповую политику

Теперь, что делать если у вас домен Active Directory. Ранее я рассказывал, как управлять Chome через групповые политики, но тут к сожалению нет в самом шаблоне данной функции. Но выкрутиться можно через реестр Windows, создав отдельный параметр, но централизовано для всех нужных компьютеров.

Параметр который мы будим создавать, будет располагаться по пути:

В оснастке управление групповой политикой и создаем новую политику, пусть она называется "Enable unsafely-treat-insecure-origin-as-secure". Далее переходим к ее редактированию. Переходим по пути "Конфигурация компьютера - Настройка - Конфигурация Windows - Реестр". Создаем новый элемент реестра.

Заполняем поля:

• • Действие - Обновить

• Куст - HKEY_LOCAL_MACHINE
• Путь раздела Software\Policies\Google\Chrome\OverrideSecurity RestrictionsOnInsecureOrigin
• Имя параметра - 1, 2 и так далее
• Тип REG_SZ
• Значение - нужный вам сайт

В итоге у вас на серверах создастся ключ в нужном расположение.

Так же можно и руками добавить данные ключ реестра, через готовый файл OverrideSecurityRestrictionsOnInsecureOrigin.reg, который вы можете скачать у меня. Не забываем, после создания политики удаленно ее обновить на серверах.

Как управлять unsafely-treat-insecure-origin-as-secure в Edge

У Edge так же есть своя ветка реестра, по пути:

Там создаете ключи типа REG_SZ, как в случае с Chrome. так же можете в готовом файле реестра, изменить путь и запускать через него. На этом у меня все, мы с вами научились управлять параметром #unsafely-treat-insecure-origin-as-secure в браузерах на базе Chromium. С вам был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.

Дополнительные ссылки

• https://www.chromium.org/Home/chromium-security/deprecating-powerful-features-on-insecure-origins
• https://docs.microsoft.com/ru-ru/deployedge/microsoft-edge-policies
• https://getadmx.com/HKLM/Software/Policies/Google/Chrome/OverrideSecurityRestrictionsOnInsecureOrigin