Il sito Web non è sicuro

Accedo a Pandora tramite SSL e noto alcune icone tramite l'URL. Il primo è il punto esclamativo in un triangolo, a indicare che la pagina non è completamente sicura:

Non sicuro

Accanto ad esso c'è uno scudo? Questo dice che il contenuto non sicuro è bloccato.

È sicuro

Queste dichiarazioni, almeno per me, sembrano essere contrarie. Qualcuno può spiegarmelo? La mia connessione è sicura o no?

Accessibile tramite Firefox 30.0 su Windows 7. Ho installato anche HTTPS Everywhere .

firefox ssl

— David Starkey
fonte

Risposte:

Questa è chiamata pagina "contenuto misto".

Se la pagina HTTPS include contenuto recuperato tramite HTTP normale e in chiaro, la connessione viene crittografata solo parzialmente: il contenuto non crittografato è accessibile agli sniffer e può essere modificato dagli aggressori man-in-the-middle, quindi la connessione non è più protetta .

https://developer.mozilla.org/en-US/docs/Security/MixedContent

Le dichiarazioni non sono contraddittorie, ma complementari; e forse un po 'confuso. Il primo afferma che la pagina stessa non è completamente sicura perché contiene elementi non crittografati (tutti i browser Web lo notificheranno), mentre il secondo osserva che questi elementi sono stati bloccati automaticamente da Firefox.

Se Firefox non bloccasse gli elementi non crittografati, a rigor di termini la pagina non sarebbe sicura.

(HTTPS Everywhere non garantisce una connessione sicura. Tenterà di forzare HTTPS solo quando è disponibile; in caso contrario, non c'è nulla che un utente / browser possa fare al riguardo ma bloccare il contenuto non sicuro.)

— Redburn
fonte

Quindi la connessione è sicura?

— David Starkey,

La connessione principale di @DavidStarkey al sito Web è sicura. Le connessioni non sicure a risorse esterne sono bloccate. È possibile utilizzare il sito Web in modo sicuro.

— Gronostaj,

Una nota che aggiungerei qui è uno dei motivi per cui questo è negativo ed è contrassegnato. Supponiamo che tu abbia effettuato l'accesso a pandora.com e che vi sia un cookie di sessione inviato a .pandora.com che comprende la sessione di accesso. Se questo viene inviato anche durante le sessioni HTTP, la sessione è ora in chiaro. Sei stato preso in consegna. Sì, il server può dire "invia solo questo cookie per HTTPS", ma dovresti essere un fanatico e tenere traccia delle risposte del tuo server per capirlo. Quindi, per i non geek, lo segnalerà, anche se non dicendo che fanno un buon lavoro dicendo perché questo è male.

— Rich Homolka,

@RichHomolka Sarebbe un problema caricare immagini da pandorastatic.com (o static.pandora.com senza cookie rilevanti)?

— user253751

@ user20574 dipende. In generale, probabilmente no. I cookie sarebbero bloccati dal dominio. Ma ci sono altri modi per perdere informazioni tra i domini (altrimenti doubleclick / google non varrebbe così tanto). Ancora una volta, dipende da come hanno codificato la pagina.

— Rich Homolka,

Una tipica pagina Web verrà caricata in molti flussi diversi. Alcuni stream, come le immagini, possono essere caricati tramite HTTPS ma alcuni possono essere caricati da HTTP.

Il testo dice solo che quelli caricati con HTTP saranno bloccati. Se guardi l'origine della pagina, probabilmente vedrai che parte del contenuto viene indicato come HTTP.

— snowdude
fonte

Quando visiti un sito Web su HTTP, la tua connessione è vulnerabile agli attacchi di intercettazione e man-in-the-middle (MiTM). Siti che non trasmettono informazioni sensibili avanti e indietro (informazioni identificabili, numeri di previdenza sociale, carta di credito, ecc.). Quando visiti una pagina che viene completamente pubblicata su HTTPS (come PayPal e istituti finanziari), la tua connessione viene autenticata e crittografata. Tuttavia, quando un sito Web ospita contenuti HTTP e contenuti pubblicati su HTTPS, viene comunemente indicato come pagina / sito con contenuto misto. La maggior parte dei browser, come Firefox, bloccherà automaticamente i contenuti non sicuri. La maggior parte delle pagine verrà comunque visualizzata correttamente e sarai comunque in grado di navigare nella parte sicura del sito.

Quindi sei sicuro o non sicuro? Poiché non siamo mai completamente sicuri durante la navigazione in Internet; Penso che sia sicuro dire che la tua sessione è "sicura" o sicura come andrà dalla fine dell'utente.

Spero di aver risposto alla tua domanda.

— iniettore
fonte