Соединение «Опасно! Ваш пароль мог получить злоумышленник». Как исправить?

Question

[Илхомжон Матазимов]

Доброго времени суток!
У меня на сайте выходит соединения "опасно", даже с действительным сертификатом. Только тогда, когда вводишь пароль гугл триггерит "опасно, злоумышленники могли украсть ваш пароль".
Объясните, пожалуйста! Как это исправить? Я пароли хэширую php7 password_hash() без своей соли. Соль генерируется автоматически. Как это исправить?

SSL сертификат есть от Reg.ru, я им написал в поддержку, они ответили, что сертификат не паленный:

Соединение защищено:

А когда вводишь пароль, например тот, который сохранял в браузере на другие сайты:

Пароли хэшируются:

Answer 1

[Шохрух Шаймардонов]

дело не в паролях, а в http. Погуглите что такое ssl, https дальше сами разберетесь, думаю

Comments

[Илхомжон Матазимов]

Я же написал, что SSL сертификат есть:

[Шохрух Шаймардонов]

jabrik, это только хром жалуется или в других браузерах также?

[Илхомжон Матазимов]

Шохрух Шаймардонов, хз. Вроде бы только Хром

[Шохрух Шаймардонов]

jabrik, ну тогда хз...

[Евгений Самсонов]

jabrik, а на странице где написано Опасно?

[Илхомжон Матазимов]

Евгений Самсонов, на скринах показал, посмотрите. Не на странице, а на самом браузере алерт

[Евгений Самсонов]

jabrik, не ясно, какая там ссылка. http или https? Почему написано Опасно? По скриншотам сложно гадать

[Илхомжон Матазимов]

Евгений Самсонов, https написано. А когда вводишь сертификат ломается, и переключается на http и хер пойми на что. Все идет ко дну, гугл говорит "Вы ввели свой пароль на поддельном сайте, ваш пароль могли украсть". Что за херня я в шоке. Что я сделал не так, я уже не пойму. Даже сегодня всё хэширование переделывал, и все без толку

[Евгений Самсонов]

jabrik, ну так проблема в http, вам правильно написали

[Илхомжон Матазимов]

Евгений Самсонов, Вы вообще не поняли суть.
Внимательнее: прежде, чем вводить пароль на сайте, чтобы авторизоваться - https, и все нормально. После, только ИМЕННО вводишь пароль, то только тогда Гугл тригеррит алерт.

Вопрос: с чего бы ему триггериться на пароль, если пароли шифруются password_hash() без соли (PHP7)

[Шохрух Шаймардонов]

jabrik, скорее у вас на сайте подгружается какой-нибудь контент из http ресурса (да-да, теперь и это считается опасным). Проверьте, если какая-то картинка/css/js/скрипт/iframe грузятся с http? то и ваш сайт по сути считается незащищенным

[Илхомжон Матазимов]

Шохрух Шаймардонов, Спасибо за более хороший ответ.
К сожалению, никаких миксов с http & https - нет

[Евгений Самсонов]

jabrik, это вы вообще не понимаете, что происходит, еще и password_hash приплели :)

[Илхомжон Матазимов]

Евгений Самсонов, да, я действительно не могу понять из-за чего выходит эта ошибка, поэтому я и создал вопрос, чтобы разобраться. Если знаете ответ, то можете написать, пожалуйста?

[Шохрух Шаймардонов]

jabrik, вряд ли кто-то таким способом сможет помочь, лучше ссылку на сайт дать, так-то хоть можем пощупать что к чему.

Answer 2

[y2k]

Вероятно, вы вводите реальные данные от гугловской учётки, о чём Хром вас и предупреждает. Если это ваш сайт - прикручивайте oAuth.

Comments

[Илхомжон Матазимов]

Нет, это не реальные данные от гугла. Как прикрутить oAuth?