Ho notato che una determinata pagina pubblicata su HTTPS riceve un avviso di contenuto non protetto in Chrome e Firefox. Questo sembra essere perché la pagina ha un'ancora con una proprietà href che punta a un semplice sito HTTP.
Perché è un problema? Che tipo di exploit può essere eseguito in quella situazione?
Gli avvisi di contenuto misto si verificano quando una pagina HTTPS richiede il caricamento di una risorsa su HTTP. Questo è pericoloso perché le risorse non sicure sono soggette a modifiche da parte di un utente malintenzionato attivo o di intercettazione da parte di un utente malintenzionato passivo, il che viola le aspettative di sicurezza dell'utente per una pagina HTTPS.
Un link di ancoraggio <a> non causa il recupero di alcuna risorsa 1 , quindi non è possibile che una risorsa venga caricata in modo non sicuro. La situazione che hai descritto non è possibile.
<a> su una pagina HTTPS. Tuttavia, poiché il prefetching è puramente un'ottimizzazione opzionale, il comportamento ragionevole è che il browser ometti il prefetch per quella risorsa, non a emetta un avviso sulle implicazioni di sicurezza di un'ottimizzazione che è tecnicamente non necessaria. Se la risorsa collegata è un'immagine o uno script, spesso la preoccupazione principale non è che un utente malintenzionato possa leggerlo, ma che un utente malintenzionato potrebbe dirottare la richiesta e iniettare una versione modificata della risorsa per modificare l'aspetto o il comportamento di la pagina - specialmente gli script, in quanto potrebbero essere modificati per fare qualcosa di malevolo come reindirizzare l'utente a un altro sito Web o rubare dati che l'utente inserisce nella pagina.
(Come nota a margine non correlata, non sono d'accordo sul modo in cui molti browser gestiscono la visualizzazione di questi avvisi.Una connessione parzialmente crittografata è ancora un miglioramento rispetto a nessuna crittografia, ma il modo in cui alcuni browser mostrano avvertimenti importanti lo fa sembrare " peggio "di una pagina HTTP non protetta. Preferisco il modo in cui Safari lo fa, che mostra" https: // "ma nessuna icona di blocco su queste pagine)
HTTPS protegge la tua connessione al server. Il contenuto trasferito tramite HTTPS è crittografato. D'altra parte, l'HTTP è testo di lamentela, il che significa che il contenuto trasferito su HTTP non è crittografato.
Ora se qualcuno sta sniffando il tuo traffico, nel caso di HTTPS l'utente malintenzionato può vedere solo i dati crittografati, ma in caso di HTTP l'utente malintenzionato può vedere i dati di testo in chiaro.
Questa è la ragione per cui HTTP è avvertito come un contenuto non sicuro. Perché non appena fai clic su un link HTTP quel particolare link utilizzerà HTTP invece di HTTPS. E se l'utente ha ignorato questo lui / lei potrebbe trasferire alcuni contenuti sensibili come password su HTTP. L'utente potrebbe essere confuso dal fatto che stava navigando su una pagina HTTPS e tutti i link utilizzeranno HTTPS.
Leggi altre domande sui tag html web-browser tls mixed-content