Czy to naprawdę problem z bezpieczeństwem posiadania niezabezpieczonych zasobów na stronie ssl?

11

Rozumiem, że jest to tylko przykład nadmiernej ostrożności, ale jeśli mój formularz płatności zawiera niezabezpieczony zasób, nie zagraża to niczyjemu numerowi karty kredytowej przed złapaniem przez człowieka w środku.

Pytam o to, ponieważ co jakiś czas, może z powodu zawartości pamięci podręcznej lub czegoś innego, ktoś pisze, mówiąc, że widzi ten „błąd” (mimo że na mojej stronie nie ma żadnych niezabezpieczonych zasobów), ale chcą wyjaśnienia.

Tak, mogę powiedzieć wszystko o szyfrowaniu i certyfikatach oraz zaufaniu i środkowej grupie. Ale co im o tym powiem. Jak przekonać ich, że strona jest w 100% bezpieczna (a jeśli nie, daj mi znać, że się mylę!)

bałwan
źródło
jaki jest adres URL twojej strony SSL?

Odpowiedzi:

12

Luka w zabezpieczeniach związana ze „skryptami mieszanymi” powstaje, gdy strona wyświetlana przez HTTPS ładuje skrypt, CSS lub wtyczkę przez HTTP. Osoba atakująca typu man-in-the-middle (np. Osoba w tej samej sieci bezprzewodowej) może zazwyczaj przechwycić obciążenie zasobu HTTP i uzyskać pełny dostęp do strony ładującej zasób. Często jest tak źle, jakby strona internetowa wcale nie korzystała z HTTPS.

http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html

Badacze bezpieczeństwa i wielu programistów internetowych dobrze rozumieją i wyrażają zagrożenie. Istnieją 3 proste kroki, aby zaatakować użytkownika za pomocą luki w mieszanej zawartości…

1) Przygotuj atak Man-in-the-Middle. Najłatwiej jest to zrobić w sieciach publicznych, takich jak te w kawiarniach lub na lotniskach.

2) Użyj luki w mieszanej zawartości, aby wstrzyknąć złośliwy plik javascript. Złośliwy kod będzie działał w witrynie HTTPS, do której przeglądają użytkownicy. Kluczową kwestią jest to, że w witrynie HTTPS występuje luka w mieszanej zawartości, co oznacza, że ​​wykonuje treść pobraną przez HTTP. W tym przypadku atak Man-in-the-Middle i mieszana zawartość łączą się w niebezpieczny scenariusz.

„Jeśli jakiś atakujący może manipulować plikami Javascript lub arkuszami stylów, może również skutecznie manipulować innymi treściami na stronie (np. Modyfikując DOM). Więc to wszystko albo nic. Albo wszystkie twoje elementy są obsługiwane przy użyciu SSL, wtedy jesteś bezpieczny. Lub ładujesz niektóre pliki JavaScript lub arkusze stylów ze zwykłego połączenia HTTP, wtedy nie jesteś już bezpieczny. ”- ja

3) Kradnij tożsamość użytkownika (lub rób inne złe rzeczy).

http://ie.microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1

Powiązane pytanie: /programming/3778819/browser-mixed-content-warning-whats-the-point

RedGrittyBrick
źródło