È davvero un problema di sicurezza avere risorse non sicure su una pagina SSL?

11

La mia comprensione è che questo è solo un esempio di essere eccessivamente cauto, ma se il mio modulo di checkout contiene un asset non sicuro su di esso, ciò non mette in pericolo i numeri di carta di credito di nessuno di essere catturati da un man-in-the-middle.

Lo sto chiedendo perché ogni tanto, forse a causa di contenuti memorizzati nella cache o quant'altro, qualcuno scrive dicendo che stanno vedendo questo "errore" (anche se non ci sono risorse non sicure sulla mia pagina), ma vogliono una spiegazione.

Quindi sì, posso dire tutto sulla crittografia, i certificati, la fiducia e gli uomini-in-the-middle. Ma cosa dico loro di questo. Come posso convincerli che il sito è sicuro al 100% (e se non lo è fatemi sapere che mi sbaglio!)

https 
stupido
fonte
qual è l'URL della tua pagina SSL?

Risposte:

12

Una vulnerabilità di "scripting misto" si verifica quando una pagina pubblicata su HTTPS carica uno script, CSS o una risorsa plug-in su HTTP. Un aggressore man-in-the-middle (come qualcuno sulla stessa rete wireless) in genere può intercettare il carico di risorse HTTP e ottenere pieno accesso al sito Web caricando la risorsa. Spesso è brutto come se la pagina Web non avesse usato affatto HTTPS.

http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html

I ricercatori sulla sicurezza e molti sviluppatori web comprendono e articolano bene la minaccia. Esistono 3 semplici passaggi per attaccare l'utente attraverso una vulnerabilità di contenuto misto ...

1) Prepara un attacco Man-in-the-Middle. Questi sono fatti più facilmente su reti pubbliche come quelle nelle caffetterie o negli aeroporti.

2) Utilizzare una vulnerabilità di contenuto misto per iniettare un file javascript dannoso. Il codice dannoso verrà eseguito in un sito Web HTTPS sul quale l'utente naviga. Il punto chiave è che il sito HTTPS presenta una vulnerabilità di contenuto misto, il che significa che esegue il contenuto scaricato su HTTP. È qui che l'attacco Man-in-the-Middle e la vulnerabilità dei contenuti misti si combinano in uno scenario pericoloso.

"Se un utente malintenzionato è in grado di manomettere Javascript o file di fogli di stile, può anche manomettere efficacemente gli altri contenuti della tua pagina (ad esempio modificando il DOM). Quindi è tutto o niente. O tutti i tuoi elementi vengono offerti tramite SSL, quindi sei sicuro. Oppure carichi alcuni file Javascript o fogli di stile da una semplice connessione HTTP, quindi non sei più sicuro. ”- io

3) Rubare l'identità dell'utente (o fare altre cose cattive).

http://ie.microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1

Domanda correlata: /programming/3778819/browser-mixed-content-warning-whats-the-point

RedGrittyBrick
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.