เป็นปัญหาด้านความปลอดภัยหรือไม่ที่จะมีสินทรัพย์ที่ไม่ปลอดภัยในหน้า ssl?

ความเข้าใจของฉันคือว่านี่เป็นเพียงตัวอย่างของการระมัดระวังมากเกินไป แต่ถ้าแบบฟอร์มเช็คเอาต์ของฉันมีสินทรัพย์ที่ไม่ปลอดภัยอยู่นั้นจะไม่เป็นอันตรายต่อหมายเลขบัตรเครดิตของใครก็ตามที่ถูกจับโดยคนที่อยู่ตรงกลาง

ฉันถามสิ่งนี้เพราะบางครั้งอาจเป็นเพราะเนื้อหาที่เก็บไว้หรืออะไรก็ตามบางคนเขียนโดยบอกว่าพวกเขาเห็น "ข้อผิดพลาด" นี้ (แม้ว่าจะไม่มีเนื้อหาที่ไม่ปลอดภัยในหน้าของฉัน) แต่พวกเขาต้องการคำอธิบาย

ใช่ฉันสามารถบอกได้ทั้งหมดเกี่ยวกับการเข้ารหัสและใบรับรองและความน่าเชื่อถือและแบบคนกลาง แต่สิ่งที่ฉันบอกพวกเขาเกี่ยวกับเรื่องนี้ ฉันจะโน้มน้าวพวกเขาได้อย่างไรว่าไซต์นั้นปลอดภัย 100% (และหากไม่แจ้งให้เราทราบว่าฉันเข้าใจผิด!)

ช่องโหว่“ การเขียนสคริปต์แบบผสม” เกิดขึ้นเมื่อหน้าเว็บที่ให้บริการผ่าน HTTPS โหลดสคริปต์ CSS หรือทรัพยากรปลั๊กอินผ่าน HTTP ผู้โจมตีกลางคน (เช่นใครบางคนในเครือข่ายไร้สายเดียวกัน) สามารถดักจับโหลดทรัพยากร HTTP และเข้าถึงเว็บไซต์โหลดทรัพยากรอย่างสมบูรณ์ มักจะไม่ดีเหมือนกับหน้าเว็บที่ไม่ได้ใช้ HTTPS เลย

http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html

นักวิจัยด้านความปลอดภัยและนักพัฒนาเว็บจำนวนมากเข้าใจและปลื้มภัยคุกคามได้ดี มี 3 ขั้นตอนง่ายๆในการโจมตีผู้ใช้ผ่านช่องโหว่เนื้อหาแบบผสม ...

1) ตั้งค่าการโจมตีแบบ Man-in-the-Middle สิ่งเหล่านี้ทำได้ง่ายที่สุดบนเครือข่ายสาธารณะเช่นในร้านกาแฟหรือสนามบิน

2) ใช้ช่องโหว่เนื้อหาแบบผสมเพื่อฉีดไฟล์จาวาสคริปต์ที่เป็นอันตราย รหัสที่เป็นอันตรายจะทำงานในเว็บไซต์ HTTPS ที่เบราว์เซอร์ผู้ใช้ใช้ จุดสำคัญคือเว็บไซต์ HTTPS มีช่องโหว่เนื้อหาแบบผสมซึ่งหมายความว่าจะดำเนินการดาวน์โหลดเนื้อหาผ่าน HTTP นี่คือจุดอ่อนของการโจมตีแบบ Man-in-the-Middle และ Mixed Content ที่รวมอยู่ในสถานการณ์อันตราย

“ หากผู้โจมตีบางคนสามารถแก้ไขไฟล์ Javascript หรือสไตล์ชีทได้เขาก็สามารถแก้ไขเนื้อหาอื่น ๆ ในหน้าของคุณได้อย่างมีประสิทธิภาพ (เช่นโดยการแก้ไข DOM) ดังนั้นไม่ว่าจะทั้งหมดหรือเปล่าก็ตาม องค์ประกอบทั้งหมดของคุณให้บริการโดยใช้ SSL ดังนั้นคุณจะปลอดภัย หรือคุณโหลด Javascript หรือสไตล์ชีทไฟล์จากการเชื่อมต่อ HTTP ธรรมดาจากนั้นคุณจะไม่ปลอดภัยอีกต่อไป” - ฉัน

3) ขโมยข้อมูลประจำตัวของผู้ใช้ (หรือทำสิ่งเลวร้ายอื่น ๆ )

http://ie.microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1

คำถามที่เกี่ยวข้อง: /programming/3778819/browser-mixed-content-warning-whats-the-point