Я получаю доступ к Pandora через SSL и замечаю несколько значков по URL. Первый - восклицательный знак в треугольнике, указывающий, что страница не полностью защищена:
Рядом с ним есть щит? Этот говорит, что контент, который не является безопасным, заблокирован.
Эти заявления, по крайней мере для меня, кажутся противоположными. Может кто-то объяснить это мне? Безопасно ли мое соединение?
Доступ через Firefox 30.0 в Windows 7. У меня также установлен HTTPS Everywhere .
Ответы:
Это называется страницей со смешанным контентом.
Если страница HTTPS содержит контент, извлеченный по обычному текстовому протоколу HTTP, то соединение шифруется только частично: незашифрованный контент доступен для снифферов и может быть изменен злоумышленниками, поэтому соединение больше не защищено. ,
https://developer.mozilla.org/en-US/docs/Security/MixedContent
Заявления не противоречат друг другу, а дополняют друг друга; и, возможно, немного сбивает с толку. Первая говорит, что сама страница не является полностью защищенной, потому что она содержит незашифрованные элементы (все веб-браузеры будут уведомлять вас об этом), тогда как вторая отмечает, что эти элементы были автоматически заблокированы Firefox.
Если Firefox не заблокирует незашифрованные элементы, то, строго говоря, страница не будет безопасной.
(HTTPS Everywhere не гарантирует безопасного соединения. Он будет пытаться принудительно установить HTTPS, только когда он доступен; в противном случае пользователь / браузер ничего не может с этим поделать, кроме как заблокировать незащищенный контент.)
Типичная веб-страница будет загружена множеством разных потоков. Некоторые потоки, такие как изображения, могут быть загружены с использованием HTTPS, но некоторые могут быть загружены по HTTP.
Текст просто говорит, что те, кто загружен с HTTP, будут заблокированы. Если вы посмотрите на источник страницы, вы, вероятно, увидите, что часть содержимого упоминается как HTTP.
Когда вы посещаете веб-сайт по протоколу HTTP, ваше соединение уязвимо для прослушивания и атак типа «человек посередине» (MiTM). Сайты, которые не передают конфиденциальную информацию туда-сюда (личная информация, номера социального страхования, кредитные карты и т. Д.). Когда вы посещаете страницу, которая полностью обслуживается через HTTPS (например, PayPal и финансовые учреждения), ваше соединение аутентифицируется и шифруется. Однако, когда веб-сайт содержит HTTP-контент, а также контент, обслуживаемый по HTTPS, его обычно называют страницей / сайтом со смешанным контентом. Большинство браузеров, таких как Firefox, автоматически блокируют небезопасный контент. Большинство страниц по-прежнему будут отображаться правильно, и вы все равно сможете просматривать защищенную часть сайта.
Так вы в безопасности или не в безопасности? Поскольку мы никогда не полностью безопасны при просмотре интернета; Я думаю, можно с уверенностью сказать, что ваша сессия "безопасна" или настолько безопасна, насколько это возможно от конечного пользователя.
Я надеюсь, что ответил на ваш вопрос.