Уразливість «змішаного сценарію» викликається, коли сторінка, що надходить через HTTPS, завантажує сценарій, CSS або ресурс плагіну через HTTP. Зловмисник "посередник" (наприклад, хтось у одній бездротовій мережі), як правило, може перехопити завантаження ресурсів HTTP та отримати повний доступ до веб-сайту, що завантажує ресурс. Це часто так само погано, як якщо б веб-сторінка зовсім не використовувала HTTPS.
Дослідники безпеки та багато веб-розробників добре розуміють та чітко формулюють загрозу. Є три простих кроки для атаки на користувача через змішану вразливість вмісту ...
1) Налаштуйте атаку "Людина в середині". Це найпростіше зробити в громадських мережах, наприклад, у кав’ярнях або аеропортах.
2) Використовуйте змішану вразливість вмісту, щоб ввести шкідливий файл JavaScript. Зловмисний код працюватиме на веб-сайті HTTPS, на якому переглядають користувач. Ключовим моментом є те, що сайт HTTPS має на ньому змішану вразливість вмісту, це означає, що він виконує контент, завантажений через HTTP. Саме тут атака "Людина в середині" та вразливість змішаного вмісту поєднуються в небезпечний сценарій.
"Якщо якийсь зловмисник здатний підробляти файли Javascript або таблиці стилів, він також може ефективно підробляти інший вміст на вашій сторінці (наприклад, змінюючи DOM). Так це все або нічого. Якщо всі ваші елементи подаються за допомогою SSL, тоді ви захищені. Або ви завантажуєте деякі файли Javascript або стилів із звичайного HTTP-з'єднання, тоді ви вже не захищені. "- мені
3) Вкрасти особу користувача (або зробити інші погані речі).