Có thực sự là một vấn đề bảo mật để có tài sản không an toàn trên một trang ssl?

11

Tôi hiểu rằng đây chỉ là một ví dụ về sự thận trọng quá mức, nhưng nếu hình thức thanh toán của tôi có chứa một tài sản không an toàn trên đó, điều đó sẽ không gây nguy hiểm cho số thẻ tín dụng của bất kỳ ai bị bắt bởi một người trung gian.

Tôi đang hỏi điều này bởi vì thỉnh thoảng, có thể do nội dung được lưu trong bộ nhớ cache hoặc không có gì, ai đó viết khi nói rằng họ đang gặp "lỗi" này (mặc dù không có tài sản không an toàn trên trang của tôi), nhưng họ muốn giải thích.

Vì vậy, có, tôi có thể nói tất cả về mã hóa và chứng chỉ và sự tin tưởng và người trung gian. Nhưng tôi nói gì với họ về điều này. Làm cách nào để thuyết phục họ rằng trang web này an toàn 100% (và nếu nó không cho tôi biết rằng tôi đã nhầm!)

https 
khối đầu
nguồn
URL của trang SSL của bạn là gì?

Câu trả lời:

12

Một lỗ hổng hỗn hợp kịch bản khác được tạo ra khi một trang được phân phát qua HTTPS tải một tập lệnh, CSS hoặc tài nguyên trình cắm qua HTTP. Kẻ tấn công trung gian (chẳng hạn như ai đó trên cùng một mạng không dây) thường có thể chặn tải tài nguyên HTTP và có quyền truy cập đầy đủ vào trang web đang tải tài nguyên. Nó thường tệ như thể trang web đã không sử dụng HTTPS.

http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html

Các nhà nghiên cứu bảo mật và nhiều nhà phát triển web hiểu và nói rõ mối đe dọa này. Có 3 bước dễ dàng để tấn công người dùng thông qua lỗ hổng nội dung hỗn hợp

1) Thiết lập một cuộc tấn công Man-in-the-Middle. Đây là những dễ dàng nhất được thực hiện trên các mạng công cộng như những người trong quán cà phê hoặc sân bay.

2) Sử dụng lỗ hổng nội dung hỗn hợp để tiêm tệp javascript độc hại. Mã độc hại sẽ chạy trong trang web HTTPS mà trình duyệt người dùng truy cập. Điểm mấu chốt là trang web HTTPS có một lỗ hổng nội dung hỗn hợp trên đó, có nghĩa là nó thực thi nội dung được tải xuống qua HTTP. Đây là nơi mà cuộc tấn công Man-in-the-Middle và lỗ hổng Nội dung hỗn hợp kết hợp thành một kịch bản nguy hiểm.

Nếu một số kẻ tấn công có thể giả mạo các tệp Javascript hoặc biểu định kiểu, anh ta cũng có thể giả mạo một cách hiệu quả các nội dung khác trên trang của bạn (ví dụ: bằng cách sửa đổi DOM). Vì vậy, đó là tất cả hoặc không có gì. Tất cả các yếu tố của bạn được phục vụ bằng SSL, sau đó bạn an toàn. Hoặc bạn tải một số tệp Javascript hoặc biểu định kiểu từ kết nối HTTP đơn giản, sau đó bạn không còn bảo mật nữa.

3) Đánh cắp danh tính của người dùng (hoặc làm những điều xấu khác).

http://ie.microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1

Câu hỏi liên quan: /programming/3778819/browser-mixed-content-warning-whats-the-point

RedGrittyBrick
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.