Perché ho visualizzato un avviso del browser non sicuro su una pagina con collegamenti HTTP?

4

Ho notato che una determinata pagina pubblicata su HTTPS riceve un avviso di contenuto non protetto in Chrome e Firefox. Questo sembra essere perché la pagina ha un'ancora con una proprietà href che punta a un semplice sito HTTP.

Perché è un problema? Che tipo di exploit può essere eseguito in quella situazione?

    
posta Joon 11.06.2015 - 15:13
fonte

3 risposte

3

Gli avvisi di contenuto misto si verificano quando una pagina HTTPS richiede il caricamento di una risorsa su HTTP. Questo è pericoloso perché le risorse non sicure sono soggette a modifiche da parte di un utente malintenzionato attivo o di intercettazione da parte di un utente malintenzionato passivo, il che viola le aspettative di sicurezza dell'utente per una pagina HTTPS.

Un link di ancoraggio <a> non causa il recupero di alcuna risorsa 1 , quindi non è possibile che una risorsa venga caricata in modo non sicuro. La situazione che hai descritto non è possibile.

  • 1 Se un browser prefigura le pagine per migliorare i tempi di caricamento, è possibile che un browser possa scegliere di precaricare una pagina HTTP collegata in base a un link <a> su una pagina HTTPS. Tuttavia, poiché il prefetching è puramente un'ottimizzazione opzionale, il comportamento ragionevole è che il browser ometti il prefetch per quella risorsa, non a emetta un avviso sulle implicazioni di sicurezza di un'ottimizzazione che è tecnicamente non necessaria.
risposta data 17.06.2015 - 14:31
fonte
3

Se la risorsa collegata è un'immagine o uno script, spesso la preoccupazione principale non è che un utente malintenzionato possa leggerlo, ma che un utente malintenzionato potrebbe dirottare la richiesta e iniettare una versione modificata della risorsa per modificare l'aspetto o il comportamento di la pagina - specialmente gli script, in quanto potrebbero essere modificati per fare qualcosa di malevolo come reindirizzare l'utente a un altro sito Web o rubare dati che l'utente inserisce nella pagina.

(Come nota a margine non correlata, non sono d'accordo sul modo in cui molti browser gestiscono la visualizzazione di questi avvisi.Una connessione parzialmente crittografata è ancora un miglioramento rispetto a nessuna crittografia, ma il modo in cui alcuni browser mostrano avvertimenti importanti lo fa sembrare " peggio "di una pagina HTTP non protetta. Preferisco il modo in cui Safari lo fa, che mostra" https: // "ma nessuna icona di blocco su queste pagine)

    
risposta data 11.06.2015 - 16:19
fonte
-1

HTTPS protegge la tua connessione al server. Il contenuto trasferito tramite HTTPS è crittografato. D'altra parte, l'HTTP è testo di lamentela, il che significa che il contenuto trasferito su HTTP non è crittografato.

Ora se qualcuno sta sniffando il tuo traffico, nel caso di HTTPS l'utente malintenzionato può vedere solo i dati crittografati, ma in caso di HTTP l'utente malintenzionato può vedere i dati di testo in chiaro.

Questa è la ragione per cui HTTP è avvertito come un contenuto non sicuro. Perché non appena fai clic su un link HTTP quel particolare link utilizzerà HTTP invece di HTTPS. E se l'utente ha ignorato questo lui / lei potrebbe trasferire alcuni contenuti sensibili come password su HTTP. L'utente potrebbe essere confuso dal fatto che stava navigando su una pagina HTTPS e tutti i link utilizzeranno HTTPS.

    
risposta data 11.06.2015 - 15:28
fonte

Leggi altre domande sui tag