Website không an toàn

Tôi đang truy cập Pandora thông qua SSL và nhận thấy một vài biểu tượng bằng URL. Đầu tiên là dấu chấm than trong một hình tam giác, cho biết trang không hoàn toàn an toàn:

Không an toàn

Bên cạnh nó là một tấm khiên? Điều này nói rằng nội dung không an toàn sẽ bị chặn.

An toàn

Những tuyên bố này, ít nhất là với tôi, dường như là đối lập. Ai đó có thể giải thích điều này với tôi? Kết nối của tôi có an toàn hay không?

Truy cập qua Firefox 30.0 trên Windows 7. Tôi cũng đã cài đặt HTTPS ở mọi nơi .

firefox ssl

— David Starkey
nguồn

Câu trả lời:

Đây được gọi là trang "nội dung hỗn hợp".

Nếu trang HTTPS bao gồm nội dung được truy xuất thông qua HTTP thông thường, rõ ràng, thì kết nối chỉ được mã hóa một phần: nội dung không được mã hóa có thể truy cập được để đánh hơi và có thể được sửa đổi bởi những kẻ tấn công trung gian và do đó kết nối không được bảo vệ nữa .

https://developer.mozilla.org/en-US/docs/Security/MixedContent

Các tuyên bố không mâu thuẫn, nhưng bổ sung; và có một chút khó hiểu có lẽ. Đầu tiên nói rằng trang này không hoàn toàn an toàn vì nó chứa các yếu tố không được mã hóa (tất cả các trình duyệt web sẽ thông báo cho bạn về điều này), trong khi lưu ý thứ hai rằng các yếu tố này đã bị Firefox tự động chặn.

Nếu Firefox không chặn các yếu tố không được mã hóa, thì nói đúng ra trang sẽ không an toàn.

— cháy đỏ
nguồn

Vậy kết nối có an toàn?

— David Starkey

@DavidStarkey kết nối chính đến trang web được bảo mật. Kết nối không an toàn với tài nguyên bên ngoài bị chặn. Bạn có thể sử dụng trang web một cách an toàn.

— gronostaj

Một lưu ý tôi muốn thêm ở đây là một trong những lý do tại sao điều này là xấu và được gắn cờ. Giả sử bạn đã đăng nhập vào pandora.com và có một phiên cookie được gửi đến .pandora.com bao gồm phiên đăng nhập của bạn. Nếu điều này cũng được gửi trong các phiên HTTP, phiên của bạn hiện đã rõ ràng. Bạn đã được tiếp quản. Có, máy chủ có thể nói "chỉ gửi cookie này cho HTTPS", nhưng bạn phải là người đam mê và theo dõi phản hồi của máy chủ để tìm ra điều này. Vì vậy, đối với những người không phải là chuyên viên máy tính, họ sẽ chỉ gắn cờ này, mặc dù không nói rằng họ làm tốt công việc nói tại sao điều này là xấu.

— Rich Homolka

@RichHomolka Sẽ là một vấn đề khi tải hình ảnh từ pandorastatic.com (hoặc static.pandora.com không có cookie có liên quan)?

— dùng253751

@ user20574 phụ thuộc. Nói chung, có lẽ là không. Các cookie sẽ bị khóa tên miền. Nhưng có nhiều cách khác để rò rỉ thông tin trên các tên miền (nếu không thì doubleclick / google sẽ không có giá trị nhiều như vậy). Một lần nữa, nó phụ thuộc vào cách họ mã hóa trang.

— Rich Homolka

Một trang web điển hình sẽ được tải trong nhiều luồng khác nhau. Một số luồng, chẳng hạn như hình ảnh, có thể được tải bằng HTTPS nhưng một số có thể được tải bằng HTTP.

Văn bản chỉ nói rằng những người được tải bằng HTTP sẽ bị chặn. Nếu bạn nhìn vào nguồn cho trang, có thể bạn sẽ thấy một số nội dung được tham chiếu là HTTP.

— tuyết
nguồn

Khi bạn truy cập một trang web qua HTTP, kết nối của bạn dễ bị tấn công nghe trộm và tấn công trung gian (MiTM). Các trang web không chuyển thông tin nhạy cảm qua lại (Thông tin có thể nhận dạng cá nhân, Số an sinh xã hội, Thẻ tín dụng, v.v.). Khi bạn truy cập một trang được phục vụ đầy đủ qua HTTPS (như PayPal và các tổ chức tài chính), kết nối của bạn được xác thực và mã hóa. Tuy nhiên, khi một trang web lưu trữ nội dung HTTP cũng như nội dung được phân phát qua HTTPS, nó thường được gọi là trang / trang nội dung hỗn hợp. Hầu hết các trình duyệt, như Firefox, sẽ tự động chặn nội dung không an toàn. Hầu hết các trang sẽ vẫn hiển thị đúng và bạn vẫn có thể duyệt phần bảo mật của trang web.

Vậy bạn có an toàn hay không an toàn? Vì chúng tôi không bao giờ hoàn toàn an toàn khi duyệt internet; Tôi nghĩ thật an toàn khi nói rằng phiên của bạn là "an toàn" hoặc an toàn như sẽ đến từ cuối của người dùng.

Tôi hy vọng tôi đã trả lời câu hỏi của bạn.

— người tiêm
nguồn