Mi è capitato di imbattermi in questo sito Web (di Google) che dovrebbe essere protetto da HTTPS, ma Chrome non mostra il blocco verde. Invece mostra questo:
Che cosa significa? In che modo gli aggressori possono sfruttare questa vulnerabilità?
La pagina che il tuo browser visualizza sullo schermo potrebbe essere costituita da molti elementi: il codice HTML, CSS, immagini, ecc. Inoltre, alcuni contenuti potrebbero essere forniti, migliorati o modificati da script (legittimi) scaricati dal sito . Questi elementi potrebbero essere inclusi dallo stesso server o da altri server.
Per Chrome visualizzare il messaggio "La tua connessione a questo sito è privato", per ogni elemento della pagina:
Se uno o più elementi sono inclusi tramite un collegamento HTTP non crittografato, quindi:
se è uno script, Chrome visualizzerà un messaggio:
Your connection to this site is not private because the site loaded an insecure script.
In tal caso esiste la possibilità che lo script sia stato sostituito con uno malevolo. Tutti i dati ricevuti dal sito o inviati al sito possono essere intercettati e modificati.
se è (solo) un contenuto passivo (come un'immagine), Chrome visualizzerà un messaggio:
Your connection to this site is private but someone on the network might be able to change the look of the page.
In tal caso nessuno sarebbe in grado di annusare i tuoi dati o leggere le informazioni fornite dal sito. Tuttavia, modificando l'aspetto della pagina, potresti essere indotto a eseguire un'azione che inizialmente non intendevi, ad esempio reimpostare la password. Sebbene la modifica della password stessa sia sicura e legittima, potrebbe essere un vantaggio per l'aggressore.
Inoltre, questo messaggio non è accurato al 100%. A seconda del contenuto passivo effettivo incluso, un utente malintenzionato passivo può dedurre quali azioni hai intrapreso sul sito crittografato. A differenza di HTTPS, con HTTP l'URL completo sarebbe visibile, quindi se una determinata pagina caricasse un insieme unico di icone, un utente malintenzionato sarebbe in grado di dire che hai raggiunto quella pagina.
La risposta di techraf ha una grande spiegazione generale, voglio solo aggiungere la causa diretta nella pagina che hai identificato in il tuo commento :
L'avviso che ti viene fornito da Chrome è un po 'confuso, ma il problema specifico in questa pagina è il pulsante Cerca in alto, che fa parte di un modulo che contiene un endpoint non HTTPS:
<form action="http://www.uscis.gov/portal/site/uscis/menuitem/"
method="get" name="searchForm">
...
<input type="image" name="submit"
src="images/branding/searchButton.gif"
id="uscisSearchBtn" title="Search">
</form>
Chrome si lamenta della destinazione HTTP di quel modulo.
Il modo in cui puoi scoprirlo è:
Ecco il mio tentativo di registrare quel processo in un GIF animato (cliccalo per visualizzarlo in full res):
Siamo spiacenti, non so quali rischi sono associati a questo, ma questa è almeno la fonte precisa dell'avvertimento di Chrome. Spero che ti aiuti.
Questo significa che il sito ha caricato le risorse http richieste su un link https.
Un utente malintenzionato può manipolare le risorse http e attaccare attraverso quelle.
Se apri la console, vedrai molti avvisi di contenuto misto, che lo spiegano.
Riferimento:
link
Se apri la console di Chrome, vedrai questo:
Mixed Content: The page at 'https://egov.uscis.gov/crisgwi/go?action=offices' was loaded over a secure connection, but contains a form which targets an insecure endpoint 'http://www.uscis.gov/portal/site/uscis/menuitem.5600b9f6b2899b1697849110543f6d1a/'. This endpoint should be made available over a secure connection.
L'ispezione di quell'URL rivela che è il <action>
per un <form>
inviato tramite http://
<form action="http://www.uscis.gov/portal/site/uscis/menuitem.5600b9f6b2899b1697849110543f6d1a/" method="get" name="searchForm"><label for="criteria" class="s508"><span>Search</span></label><input type="text" id="criteria" onblur="setSearchField(document.searchForm, this);" title="Enter search terms" onfocus="clearSearchField(this);" maxlength="50" value="Search" name="searchQuery"><input type="image" name="submit" src="images/branding/searchButton.gif" id="uscisSearchBtn" title="Search"></form>
Per quanto riguarda il motivo per cui dice "potrebbe essere in grado di cambiare l'aspetto" - molto probabilmente è un messaggio generico innescato quando sono presenti elementi non sicuri. Il più delle volte questi sono media, css o js. In questo caso è un <form>
.
Se una risorsa / risorsa / chiamata / ecc viene richiesta tramite HTTP, non viene applicata alcuna crittografia. Ciò significa che chiunque "nel mezzo" può ascoltare, raccogliere i dati, attenuarli e trasmetterli. Se i dati sono stati crittografati e utilizzando crittografia, segretezza e TLS corretti, non sono stati in grado di ascoltarli e, in caso contrario, non avrebbero "visto" i dati reali.
In realtà, questo problema (contenuto misto) a volte può essere molto pericoloso.
Supponete di avere il collegamento del sito con un'autenticazione molto affidabile, e tutto gira su HTTPS molto affidabile eccetto una piccola immagine che viene usata in uno (forse molto raramente usato) pagina dal suo indirizzo http (non https). per esempio. link ( problema A )
Ora, supponiamo che il cookie di sessione (che viene fornito dopo l'autenticazione riuscita) venga utilizzato senza attributo "sicuro". Questo non è molto buono, ma abbastanza sicuro finché non abbiamo contenuto misto. ( problema B )
Ora, se abbiamo entrambi il problema A + problema B sullo stesso sito, quando apri la pagina web con contenuti misti su link , il browser richiedere che l'immagine su HTTP e la richiesta http dispongano di tutti i cookie non protetti per il dominio example.com. Quindi, MITM può annusare la cosa più importante che potrebbe essere sniffata su un cookie di autenticazione di rete da intestazioni di richiesta http (e anche annusando quell'inutile immagine dal corpo di risposta http, questo non è davvero un problema, il problema è nei cookie). Ora può utilizzare qualsiasi addon del browser cookie manager per impostare il suo cookie su valore sniffato e verrà connesso a quel sito.
Questa è la situazione di ' two locks '. Quando almeno uno di essi è bloccato, la porta è bloccata. Ma se entrambe le serrature sono violate, la porta è aperta.
Penso che @Stoud lo abbia praticamente inchiodato. anche se la cosa strana è guardare nel sito che hai menzionato (leggermente) sembra che il certificato sia a posto e (sto usando Firefox) non sembra caricare nessun componente non HTTPS / Secure ... Detto questo stai usando un pubblico computer (libreria o qualcosa del genere)? o la tua macchina. Potrebbe essere possibile che la tua macchina possa essere compromessa da un MitM o qualche altro problema ... probabilmente un server proxy / reindirizzamento non valido?
Hai provato un browser diverso?
https://egov.uscis.gov
Version: 1.11.7-static
OpenSSL 1.0.2i-dev xx XXX xxxx
Testing SSL server egov.uscis.gov on port 443
TLS Fallback SCSV:
Server supports TLS Fallback SCSV
TLS renegotiation:
Secure session renegotiation supported
TLS Compression:
Compression disabled
Heartbleed:
TLS 1.2 not vulnerable to heartbleed
TLS 1.1 not vulnerable to heartbleed
TLS 1.0 not vulnerable to heartbleed
Supported Server Cipher(s):
Preferred TLSv1.2 256 bits DHE-RSA-AES256-GCM-SHA384 DHE 1024 bits
Accepted TLSv1.2 128 bits DHE-RSA-AES128-GCM-SHA256 DHE 1024 bits
Accepted TLSv1.2 256 bits DHE-RSA-AES256-SHA DHE 1024 bits
Accepted TLSv1.2 128 bits DHE-RSA-AES128-SHA DHE 1024 bits
Accepted TLSv1.2 256 bits AES256-GCM-SHA384
Accepted TLSv1.2 128 bits AES128-GCM-SHA256
Accepted TLSv1.2 256 bits AES256-SHA256
Accepted TLSv1.2 256 bits AES256-SHA
Accepted TLSv1.2 128 bits AES128-SHA256
Accepted TLSv1.2 128 bits AES128-SHA
Accepted TLSv1.2 256 bits ECDHE-RSA-AES256-GCM-SHA384 Curve P-256 DHE 256
Accepted TLSv1.2 128 bits ECDHE-RSA-AES128-GCM-SHA256 Curve P-256 DHE 256
Accepted TLSv1.2 256 bits ECDHE-RSA-AES256-SHA384 Curve P-256 DHE 256
Accepted TLSv1.2 256 bits ECDHE-RSA-AES256-SHA Curve P-256 DHE 256
Accepted TLSv1.2 128 bits ECDHE-RSA-AES128-SHA256 Curve P-256 DHE 256
Accepted TLSv1.2 128 bits ECDHE-RSA-AES128-SHA Curve P-256 DHE 256
Preferred TLSv1.1 256 bits DHE-RSA-AES256-SHA DHE 1024 bits
Accepted TLSv1.1 128 bits DHE-RSA-AES128-SHA DHE 1024 bits
Accepted TLSv1.1 256 bits AES256-SHA
Accepted TLSv1.1 128 bits AES128-SHA
Accepted TLSv1.1 256 bits ECDHE-RSA-AES256-SHA Curve P-256 DHE 256
Accepted TLSv1.1 128 bits ECDHE-RSA-AES128-SHA Curve P-256 DHE 256
Preferred TLSv1.0 256 bits DHE-RSA-AES256-SHA DHE 1024 bits
Accepted TLSv1.0 128 bits DHE-RSA-AES128-SHA DHE 1024 bits
Accepted TLSv1.0 256 bits AES256-SHA
Accepted TLSv1.0 128 bits AES128-SHA
Accepted TLSv1.0 256 bits ECDHE-RSA-AES256-SHA Curve P-256 DHE 256
Accepted TLSv1.0 128 bits ECDHE-RSA-AES128-SHA Curve P-256 DHE 256
SSL Certificate:
Signature Algorithm: sha256WithRSAEncryption
RSA Key Strength: 2048
Subject: egov.uscis.gov
Altnames: DNS:egov.uscis.gov
Issuer: Symantec Class 3 Secure Server CA - G4
Not valid before: Nov 12 00:00:00 2015 GMT
Not valid after: Nov 12 23:59:59 2017 GMT