Я під'їжджаю до Пандори через SSL і помічаю кілька піктограм за URL-адресою. Спочатку - знак оклику в трикутнику, що вказує, що сторінка не повністю захищена:
Поруч із ним щит? Цей говорить, що вміст, який не захищений, заблокований.
Ці заяви, принаймні, мені здаються протилежними. Може хтось мені це пояснить? Моє з'єднання безпечне чи ні?
Доступ через Firefox 30.0 в Windows 7. У мене також встановлені HTTPS скрізь .
Відповіді:
Це називається сторінкою "змішаного вмісту".
Якщо сторінка HTTPS включає вміст, отриманий через звичайний чіткий текст HTTP, то з'єднання лише частково зашифроване: незашифрований вміст доступний для нюхачів і може бути змінений зловмисниками, а отже, з'єднання вже не захищене .
https://developer.mozilla.org/en-US/docs/Security/MixedContent
Твердження не суперечливі, а доповнюють один одного; і трохи заплутано, можливо. Перший говорить, що сама сторінка не є повністю захищеною, оскільки містить незашифровані елементи (усі веб-браузери повідомлять про це), тоді як друга зазначає, що Firefox автоматично блокував ці елементи.
Якщо Firefox не заблокував незашифровані елементи, то строго кажучи сторінка не була б захищеною.
(HTTPS скрізь не гарантує безпечне з'єднання. Він намагатиметься змусити HTTPS лише тоді, коли він доступний; якщо це не так, користувач / браузер не може зробити цього, але заблокує незахищений вміст.)
Типова веб-сторінка буде завантажена у великій кількості різних потоків. Деякі потоки, такі як зображення, можуть завантажуватися за допомогою HTTPS, але деякі, можливо, завантажуються HTTP.
У тексті йдеться лише про те, що завантажені HTTP будуть заблоковані. Якщо ви подивитесь на джерело сторінки, ви, ймовірно, побачите, що частина вмісту посилається на HTTP.
Коли ви відвідуєте веб-сайт через HTTP, ваш зв’язок вразливий для підслуховування та атаки "посеред" (MiTM). Сайти, які не передають конфіденційну інформацію туди-сюди (Персональна ідентифікована інформація, номери соціального захисту, кредитна картка тощо). Коли ви відвідуєте сторінку, яка повністю обслуговується через HTTPS (наприклад, PayPal та фінансові установи), ваше з'єднання буде засвідчено автентифікацією та зашифровано. Однак, коли веб-сайт розміщує вміст HTTP, а також вміст, що подається через HTTPS, його зазвичай називають сторінкою / сайтом із змішаним вмістом. Більшість веб-переглядачів, як-от Firefox, автоматично заблокує незахищений вміст. Більшість сторінок все одно відображатимуться належним чином, і ви все одно зможете переглядати захищену частину сайту.
Так ви захищені чи не захищені? Оскільки ми ніколи не перебуваємо в безпеці під час перегляду Інтернету; Я думаю, що можна впевнено сказати, що ваш сеанс "захищений" або настільки ж безпечний, як і з кінця користувача.
Я сподіваюся, що я відповів на ваше запитання.