เว็บไซต์ไม่ปลอดภัย

ฉันกำลังเข้าใช้งานแพนโดร่าผ่าน SSL และสังเกตเห็นไอคอนบางอันด้วย URL แรกคือเครื่องหมายอัศเจรีย์ในรูปสามเหลี่ยมแสดงว่าหน้าไม่ปลอดภัย:

ไม่ปลอดภัย

ถัดจากมันเป็นโล่? สิ่งนี้บอกว่าเนื้อหาที่ไม่ปลอดภัยถูกบล็อก

มีความปลอดภัย

ข้อความเหล่านี้อย่างน้อยสำหรับฉันดูเหมือนจะตรงกันข้าม มีคนอธิบายเรื่องนี้กับฉันได้ไหม การเชื่อมต่อของฉันปลอดภัยหรือไม่?

เข้าถึงได้ผ่าน Firefox 30.0 บน Windows 7 ฉันยังติดตั้งHTTPS ทุกที่

firefox ssl

— เดวิดสตาร์กี้
แหล่งที่มา

คำตอบ:

สิ่งนี้เรียกว่าหน้า "เนื้อหาผสม"

หากหน้า HTTPS มีเนื้อหาที่เรียกผ่าน HTTP แบบธรรมดา cleartext ดังนั้นการเชื่อมต่อจะถูกเข้ารหัสเพียงบางส่วนเท่านั้น: เนื้อหาที่ไม่ได้เข้ารหัสสามารถเข้าถึงผู้ดมกลิ่นได้และสามารถแก้ไขได้โดยผู้โจมตีกลางคนดังนั้นจึงไม่สามารถป้องกันการเชื่อมต่อได้อีกต่อไป .

https://developer.mozilla.org/en-US/docs/Security/MixedContent

คำแถลงนั้นไม่ได้ขัดแย้งกัน แต่เป็นการเสริม และอาจสับสนเล็กน้อย คนแรกบอกว่าหน้าตัวเองไม่ได้ปลอดภัยอย่างเต็มที่เพราะมันมีองค์ประกอบที่ไม่ได้เข้ารหัส (เว็บเบราว์เซอร์ทั้งหมดจะแจ้งให้คุณทราบนี้) ในขณะที่บันทึกที่สองว่าองค์ประกอบเหล่านี้ถูกปิดกั้นโดยอัตโนมัติโดย Firefox

หาก Firefox จะไม่บล็อกองค์ประกอบที่ไม่เข้ารหัสดังนั้นการพูดหน้าอย่างเคร่งครัดจะไม่ปลอดภัย

(HTTPS ทุกที่ไม่รับประกันการเชื่อมต่อที่ปลอดภัยมันจะพยายามบังคับ HTTPS เมื่อพร้อมใช้งานเท่านั้นหากไม่มีผู้ใช้ / เบราว์เซอร์สามารถทำสิ่งนั้นได้ แต่บล็อกเนื้อหาที่ไม่ปลอดภัย)

— เรดเบิร์
แหล่งที่มา

ดังนั้นการเชื่อมต่อจึงปลอดภัยหรือไม่

— David Starkey

@DavidStarkey การเชื่อมต่อหลักกับเว็บไซต์มีความปลอดภัย การเชื่อมต่อที่ไม่ปลอดภัยไปยังแหล่งข้อมูลภายนอกถูกบล็อก คุณสามารถใช้เว็บไซต์ได้อย่างปลอดภัย

— gronostaj

บันทึกฉันต้องการเพิ่มที่นี่เป็นหนึ่งในเหตุผลที่ว่าทำไมนี้ไม่ดีและถูกตั้งค่าสถานะ สมมติว่าคุณมีการเข้าสู่ pandora.com และมีคุกกี้เซสชันที่ส่งไปยัง. ปานora.comที่ครอบคลุมเซสชันการเข้าสู่ระบบของคุณ ในกรณีนี้คือยังส่งในระหว่างการประชุม HTTP เซสชันของคุณตอนนี้อยู่ในที่ชัดเจน คุณถูกยึดครอง ใช่เซิร์ฟเวอร์สามารถพูดว่า "เพียงส่งคุกกี้นี้สำหรับ HTTPS" แต่คุณจะต้องมีความรู้และติดตามการตอบกลับของเซิร์ฟเวอร์เพื่อให้เข้าใจสิ่งนี้ ดังนั้นสำหรับผู้ที่ไม่มีความรู้เรื่องมันจะทำเครื่องหมายสิ่งนี้แม้ว่าจะไม่ได้บอกว่าพวกเขาทำงานได้ดีโดยบอกว่าเหตุใดจึงไม่ดี

— Rich Homolka

@RichHomolka มันจะมีปัญหาในการโหลดภาพจากpandorastatic.com (หรือ static.pandora.com โดยไม่มีคุกกี้ที่เกี่ยวข้อง) หรือไม่?

— user253751

@ user20574 ขึ้นอยู่กับ โดยทั่วไปอาจจะไม่ คุกกี้จะถูกล็อคโดเมน แต่มีวิธีอื่นในการรั่วไหลของข้อมูลข้ามโดเมน (มิฉะนั้น doubleclick / google จะไม่คุ้มค่ามากนัก) อีกครั้งมันขึ้นอยู่กับวิธีที่พวกเขาเข้ารหัสหน้า

— Rich Homolka

หน้าเว็บทั่วไปจะถูกโหลดในสตรีมที่แตกต่างกันมากมาย สตรีมบางรายการเช่นรูปภาพอาจโหลดโดยใช้ HTTPS แต่บางไฟล์อาจโหลดโดย HTTP

ข้อความเพิ่งบอกว่าข้อความที่โหลดด้วย HTTP จะถูกบล็อก หากคุณดูแหล่งที่มาของหน้าคุณอาจเห็นว่าเนื้อหาบางส่วนมีการอ้างอิงเป็น HTTP

— snowdude
แหล่งที่มา

เมื่อคุณเยี่ยมชมเว็บไซต์ผ่าน HTTP การเชื่อมต่อของคุณจะเสี่ยงต่อการถูกดักข้อมูลและการโจมตีแบบ Man-in-the-middle (MiTM) เว็บไซต์ที่ไม่ผ่านข้อมูลที่ละเอียดอ่อนไปมา (ข้อมูลที่ระบุตัวบุคคลได้หมายเลขประกันสังคมบัตรเครดิตและอื่น ๆ ) เมื่อคุณเยี่ยมชมหน้าที่ให้บริการอย่างเต็มที่ผ่าน HTTPS (เช่น PayPal และสถาบันการเงิน) การเชื่อมต่อของคุณจะได้รับการรับรองและเข้ารหัส อย่างไรก็ตามเมื่อเว็บไซต์โฮสต์เนื้อหา HTTP รวมถึงเนื้อหาที่ให้บริการผ่าน HTTPS โดยทั่วไปจะเรียกว่าหน้า / ไซต์เนื้อหาแบบผสม เบราว์เซอร์ส่วนใหญ่เช่น Firefox จะบล็อกเนื้อหาที่ไม่ปลอดภัยโดยอัตโนมัติ หน้าส่วนใหญ่จะยังคงแสดงอย่างถูกต้องและคุณจะยังสามารถเรียกดูส่วนที่ปลอดภัยของเว็บไซต์

ดังนั้นคุณปลอดภัยหรือไม่ปลอดภัย? เนื่องจากเราไม่ปลอดภัยอย่างเต็มที่เมื่อท่องอินเทอร์เน็ต ฉันคิดว่ามันปลอดภัยที่จะบอกว่าเซสชั่นของคุณ "ปลอดภัย" หรือปลอดภัยที่สุดเท่าที่จะเป็นไปได้จากการสิ้นสุดของผู้ใช้

ฉันหวังว่าฉันจะตอบคำถามของคุณ

— หัวฉีด
แหล่งที่มา