Cosa significa questo avviso Https - "non completamente sicuro"?

49

Sono andato ad accedere a un sito web oggi utilizzando Google Chrome e mi è stato presentato il seguente errore:

Your connection to this site is not fully secure

Attackers might be able to see the images you're looking at on this site and trick you by modifying them

Quando ho fatto clic sul link Dettagli , si dice quanto segue

The site includes HTTP resources

Non ho mai visto questo avviso prima.

Che cosa significa questo avvertimento in parole povere e dovrei accedere al sito web con il mio nome utente e password?

Extra:

Aprire la stessa pagina in Microsoft Edge dichiara che il sito web è sicuro

    
posta user1 10.01.2017 - 16:58
fonte

9 risposte

57

In poche parole, sta dicendo che mentre il nucleo della pagina sta usando https (sicuro) per ottenere quelle informazioni sul tuo computer, quella pagina (sicura) fa riferimento a elementi non sicuri (come immagini e forse script).

Gli attaccanti non possono cambiare direttamente la pagina originale, ma possono cambiare gli elementi non sicuri. Se quelle sono immagini, possono cambiare l'immagine. Se quelli sono script, possono cambiare anche quelli. In questo modo, gli utenti malintenzionati potrebbero cambiare ciò che vedi, anche se la pagina principale era "sicura".

Come sottolinea Michael Kjörling nei commenti, questo espone anche alcune delle tue informazioni in queste richieste - potenzialmente i cookie (se è lo stesso sito / corrisponde ai siti dei cookie / lo sviluppatore non ha specificato solo sicuro), i referenti, ecc., che colpirà alcune informazioni su ciò che si sta facendo nel migliore dei casi e, in caso contrario, potrebbe consentire determinati attacchi.

Questa è una cattiva pratica da parte dello sviluppatore web: tutti gli elementi dovrebbero utilizzare il trasporto sicuro.

Potresti (potenzialmente) migliorare la tua situazione utilizzando un plug-in del browser che aggiorna automaticamente tutte le richieste su http a https.

    
risposta data 10.01.2017 - 17:03
fonte
23

L'avviso indica che alcuni elementi passivi della pagina (elementi passivi sono cose come immagini, video, audio, ecc.) sono stati caricati su una connessione non sicura. Nessun contenuto attivo, che sia il contenuto che potrebbe accedere al tuo nome utente o password (principalmente script, ma anche iframe), è stato caricato su una connessione non sicura, quindi inserire la tua password su quella pagina è altrettanto sicuro che se il messaggio di avviso non fosse presente .

Ci sono due ragioni per cui i browser ti avvisano del contenuto misto passivo. L'ovvio è che un attaccante potrebbe sostituire le immagini insicure con qualcos'altro. Il rischio più sottile è che se un utente malintenzionato può vedere quali immagini sono caricate sulla pagina, potrebbe essere in grado di correlarlo con le pagine del sito che caricano quelle immagini e utilizzarle per determinare quale pagina del sito si sta visualizzando . Nel tuo caso, non importa, ma per alcuni siti HTTPS viene utilizzato in parte per impedire a un intercettatore di determinare quale parte di un sito stai visualizzando.

Se la pagina è stata caricata su HTTPS e il contenuto attivo è misto, il che significa che non sarebbe sicuro inserire la tua password, il tuo browser bloccherà automaticamente lo script, quindi non è un rischio. Se decidi di volere lo script, contrassegna in modo molto evidente il sito come non sicuro.

Prima di caricare il contenuto non sicuro:

Dopoaverfattoclicsu"Carica script non sicuri":

A condizione che l'URL inizi https:// e non ci siano avvertimenti di sicurezza importanti, è sicuro inserire la tua password.

    
risposta data 11.01.2017 - 01:44
fonte
6

Significa che la pagina web non mostra tutto il suo contenuto sul protocollo https. Ha alcune parti che usano http. Il contenuto misto non è buono e questo genera l'avviso che stai vedendo sui browser perché parte del contenuto può essere visualizzata in modo semplice.

Forse alcune immagini esterne caricate come <img src="http://somewhere.net"> o qualche javascript, css o altro.

Microsoft Edge è troppo fiducioso, credo. :)

    
risposta data 10.01.2017 - 17:02
fonte
3

Ciò significa che sebbene i dati e (la maggior parte) del contenuto del sito siano stati inviati su un tunnel SSL, il sito ha caricato le immagini su un tunnel non criptato. Questo non è un grosso problema nella maggior parte dei casi, sebbene sia uno di quelli che lo sviluppatore dovrebbe assolutamente risolvere.

Tuttavia - "Devo accedere ..." - Nella maggior parte dei casi (e nel tuo) è sicuro eseguire l'accesso. I tuoi dati verranno comunque inviati tramite il tunnel crittografato.

Quello che devi capire qui è che alcune risorse (come immagini o script) sono state caricate su HTTP, e questo è il problema:

| HTTPS | ------ > | La maggior parte della pagina | --- > | Non può essere modificata da un utente malintenzionato |

| HTTP | ------- > | Alcune risorse | --- > | Può essere modificato da un utente malintenzionato |

    
risposta data 10.01.2017 - 17:05
fonte
3

Il sito sta caricando contenuti misti, alcuni contenuti come immagini e css verranno caricati su un canale non sicuro mentre il contenuto del sito principale viene servito su HTTPS. Questo è spesso il caso in cui stile / immagini vengono estratte dai CDN.

In teoria, gli elementi insicuri potrebbero essere man in the middle e modificati a tua insaputa per servire contenuti dannosi.

Chrome ti avvisa di questo tipo di problemi più di altri browser ed è bene essere prudenti. Se hai una storia di fiducia in questo sito ed è affidabile, è probabilmente sicuro continuare. Se non l'hai mai visto prima per un sito di cui ti fidi, potresti consigliare agli sviluppatori cosa è successo.

Ricorda che sarebbe necessario che un utente malintenzionato attivo stia monitorando la tua connessione per poter sfruttare questa vulnerabilità.

    
risposta data 10.01.2017 - 17:04
fonte
2

Solo per espandere su Internet Explorer / Lato Edge:

  • Il sito non sembra essere insicuro a prima vista e il contenuto non sicuro non sembra essere evidenziato
  • Stampa un errore di sicurezza nella console ("La sicurezza HTTPS è compromessa da < url >")
  • Puoi configurarli in modo da rifiutare sempre i contenuti misti
  • Il contenuto misto attivo è completamente rifiutato - nessun avviso "sito web non sicuro", il contenuto attivo non sicuro semplicemente non viene eseguito.

Quindi IE è pienamente consapevole delle implicazioni, ma molto probabilmente le considera non critiche - le informazioni non sono trapelate oltre il confine e le immagini non sono contenuti attivi (anche se potrebbe esserci ancora un vettore di attacco, come con il vecchia vulnerabilità WMF). Ciò significa che è possibile fornire dati non affidabili (o crittografati) - il ragionamento è probabilmente sulla linea di "se fosse importante, sarebbe su HTTP, il sito probabilmente sta solo cercando di salvare la CPU su contenuto statico ".

Può ancora essere usato per gli exploit? Sicuro. Ad esempio, se i pulsanti "sì" e "no" sono immagini trasportate via HTTP, un utente malintenzionato (MITM) potrebbe cambiarle, in modo da confermare una finestra di dialogo che si desidera rifiutare. Ciò potrebbe essere particolarmente problematico se il sito Web consente URL che richiedono qualcosa come "Vuoi inviare tutti i tuoi soldi a Mr. Hacker?" Ma è solo un problema se il contenuto stesso è importante: riservato, critico per la sicurezza e simili. E, naturalmente, il browser non ha modo di sapere se una particolare risorsa è importante o meno - solo lo sviluppatore (e le persone commettono errori).

Potrebbe sembrare che emettere l'avviso sia una buona misura di sicurezza, ma non è necessariamente così. Se vedi lo stesso avvertimento su metà delle pagine a cui vai, perderà completamente il suo effetto - le persone impareranno semplicemente ad ignorarlo (proprio come la prima volta che IE ti chiedeva se vuoi consentire l'invio di contenuti non sicuri, basta ha controllato "Non chiedermelo più" e l'hai permesso, senza nemmeno rendertene conto - è la prima cosa che IE ti chiede quando tenti di pubblicare dati di moduli di qualsiasi tipo su HTTP). Quindi stai scegliendo tra due cattivi, come di solito accade con qualsiasi disegno non banale - in questo caso, un falso negativo rispetto a un falso positivo.

    
risposta data 12.01.2017 - 13:34
fonte
2

Se non vedi il lucchetto, puoi controllare il motivo su

Perché nessun lucchetto?

Questo servizio consente parametri di ricerca e funziona anche con siti di e-commerce come ShopSite, Magento, WooCommerce.

Questo mi aiuta molto, specialmente quando diagnostico un sito web.

    
risposta data 03.01.2018 - 13:29
fonte
1

"Non completamente sicuro" è anche il modo in cui Chrome descrive i siti Web che utilizzano algoritmi di crittografia che non sono più considerati completamente sicuri, ma sono troppo diffusi per disattivarli completamente. Attualmente, l'unico algoritmo di questo tipo è SHA-1 e pianificano per disattivarlo questo mese (con il rilascio della versione 56), ma potrebbe tornare in futuro.

    
risposta data 11.01.2017 - 21:21
fonte
1

Penso che valga la pena sottolineare che Chrome ti fornirà anche questo messaggio se c'è un tag form sulla tua pagina con un action non sicuro. Chrome mi ha appena mostrato questo messaggio:

Your connection to this site is not fully secure

Attackers might be able to see the images you're looking at on this site and trick you by modifying them.

Questo può indicare la direzione sbagliata se il problema è in realtà un form con un% non sicuro% co_de.

Quindi, questo è buono:

<form action="https://www.example.com/whatever.php">

e questo è male:

<form action="http://www.example.com/whatever.php">

Non hai richiesto alcun contenuto da action ancora , ma se il tuo utente invia il modulo, non sarà sicuro, da qui l'avvertimento di Chrome.

    
risposta data 07.02.2017 - 18:44
fonte

Leggi altre domande sui tag