Strona internetowa nie jest bezpieczna

17

Uzyskuję dostęp do Pandory przez SSL i zauważam kilka ikon pod adresem URL. Pierwszy to wykrzyknik w trójkącie, wskazujący, że strona nie jest w pełni bezpieczna:

Nie zabezpieczone

Obok jest tarcza? Ten mówi, że zawartość, która nie jest bezpieczna, jest zablokowana.

Jest bezpieczny

Te stwierdzenia, przynajmniej dla mnie, wydają się być przeciwieństwami. Czy ktoś może mi to wyjaśnić? Czy moje połączenie jest bezpieczne, czy nie?

Dostęp przez Firefox 30.0 w systemie Windows 7. Mam również zainstalowany HTTPS Everywhere .

firefox ssl David Starkey
źródło

Odpowiedzi:

16

Nazywa się to stroną o „mieszanej zawartości”.

Jeśli strona HTTPS zawiera treści pobierane za pomocą zwykłego, czystego tekstu HTTP, połączenie jest tylko częściowo szyfrowane: niezaszyfrowana treść jest dostępna dla snifferów i może być modyfikowana przez atakujących typu man-in-the-middle, a zatem połączenie nie jest już chronione .

https://developer.mozilla.org/en-US/docs/Security/MixedContent

Stwierdzenia te nie są sprzeczne, lecz uzupełniają się; i może trochę mylące. Pierwsza mówi, że sama strona nie jest w pełni bezpieczna, ponieważ zawiera niezaszyfrowane elementy (wszystkie przeglądarki o tym powiadomią), a druga zauważa, że ​​elementy te zostały automatycznie zablokowane przez Firefox.

Jeśli Firefox nie zablokuje niezaszyfrowanych elementów, ściśle mówiąc, strona nie będzie bezpieczna.

(HTTPS Everywhere nie gwarantuje bezpiecznego połączenia. Będzie próbował wymusić HTTPS tylko wtedy, gdy jest dostępny; jeśli nie jest, użytkownik / przeglądarka nie może nic na to poradzić, ale blokuje niezabezpieczoną zawartość.)

redburn
źródło
Więc połączenie jest bezpieczne?
David Starkey
5
Główne połączenie @DavidStarkey ze stroną jest bezpieczne. Niebezpieczne połączenia z zasobami zewnętrznymi są blokowane. Możesz bezpiecznie korzystać ze strony internetowej.
gronostaj
Uwaga, którą tu dodam, jest jednym z powodów, dla których jest to złe i jest oflagowane. Załóżmy, że masz login do strony pandora.com, a do pliku .pandora.com jest wysyłany plik cookie sesji, który obejmuje sesję logowania. Jeśli jest to również wysyłane podczas sesji HTTP, twoja sesja jest teraz czysta. Zostałeś przejęty. Tak, serwer może powiedzieć „wyślij tylko ten plik cookie do HTTPS”, ale musisz być maniakiem i śledzić odpowiedzi serwera, aby to zrozumieć. Tak więc dla nie-maniaków będzie to po prostu oznaczać, ale nie mówiąc, że wykonują dobrą robotę, mówiąc, dlaczego to jest złe.
Rich Homolka
@RichHomolka Czy załadowanie zdjęć ze strony pandorastatic.com (lub static.pandora.com bez odpowiednich plików cookie byłoby problemem )?
user253751
@ user20574 zależy. Zasadniczo prawdopodobnie nie. Pliki cookie byłyby zablokowane w domenie. Ale są też inne sposoby na wyciek informacji z różnych domen (inaczej podwójne kliknięcie / google nie byłoby tyle warte). Znowu zależy to od sposobu zakodowania strony.
Rich Homolka
0

Typowa strona internetowa zostanie załadowana w wielu różnych strumieniach. Niektóre strumienie, takie jak obrazy, mogą być ładowane przy użyciu HTTPS, ale niektóre mogą być ładowane przez HTTP.

Tekst mówi tylko, że te załadowane HTTP zostaną zablokowane. Jeśli spojrzysz na źródło strony, prawdopodobnie zobaczysz, że część zawartości jest określana jako HTTP.

snowdude
źródło
0

Gdy odwiedzasz stronę internetową przez HTTP, twoje połączenie jest podatne na podsłuchy i ataki typu man-in-the-middle (MiTM). Witryny, które nie przekazują poufnych informacji tam iz powrotem (dane osobowe, numery ubezpieczenia społecznego, karta kredytowa itp.). Gdy odwiedzasz stronę w pełni obsługiwaną przez HTTPS (np. PayPal i instytucje finansowe), twoje połączenie jest uwierzytelniane i szyfrowane. Jednak gdy witryna zawiera treści HTTP, a także treści udostępniane za pośrednictwem protokołu HTTPS, jest powszechnie nazywana stroną / witryną o mieszanej zawartości. Większość przeglądarek, takich jak Firefox, automatycznie blokuje zawartość, która nie jest bezpieczna. Większość stron będzie nadal wyświetlana poprawnie i nadal będziesz mógł przeglądać bezpieczną część witryny.

Czy jesteś bezpieczny czy nie? Ponieważ nigdy nie jesteśmy w pełni bezpieczni podczas przeglądania Internetu; Myślę, że można bezpiecznie powiedzieć, że twoja sesja jest „bezpieczna” lub tak bezpieczna, jak to możliwe od użytkownika.

Mam nadzieję, że odpowiedziałem na twoje pytanie.

wtryskiwacz
źródło