OneDrive contrassegnato non sicuro da Google Chrome a causa di script non sicuri

4

La pagina dell'unità di OneDrive chiede di caricare il seguente script (che in genere è bloccato da Chrome per renderlo non sicuro)

<html>

<head>
    <title>Bing</title>
</head>

<body>Loading...
    <script type="text/javascript">
        //<![CDATA[
        var _w = window;
        var o = _w.opener;
        var mainWindow;
        (mainWindow = o) || (mainWindow = _w.parent);
        if (mainWindow) {
            mainWindow.sj_evt && mainWindow.sj_evt.fire("wl:auth");
        };
        if (o) _w.close();;
        //]]>
    </script>
</body>

</html>

E il seguente è stato registrato nella Developer Console

AI session renewal date is 0, session will be reset.
Mixed Content: The page at 'https://onedrive.live.com/?cid=<REDACTED>' was loaded over HTTPS, but requested an insecure form action 'http://www.bing.com/Passport.aspx?popup=1'. This request has been blocked; the content must be served over HTTPS.
Mixed Content: The page at 'https://onedrive.live.com/?id=root&cid=<REDACTED>' was loaded over HTTPS, but requested an insecure form action 'http://www.bing.com/Passport.aspx?popup=1'. This content should also be served over HTTPS.
Uncaught SecurityError: Blocked a frame with origin "http://www.bing.com" from accessing a frame with origin "https://onedrive.live.com".  The frame requesting access has a protocol of "http", the frame being accessed has a protocol of "https". Protocols must match.

Qualcuno può far luce su quello che sta facendo esattamente? OneDrive non è più sicuro o è un falso positivo di Chrome?

    
posta Paras Singh Laddi 25.12.2015 - 09:27
fonte

1 risposta

3

Non sono un grande esperto su questo. Ma posso darti una piccola spiegazione con il mio 3year come amministratore del server e tecnologo in una società di sviluppo web.

Lo script potrebbe essere un controllo di accesso unificato come fa Google per tutti i suoi prodotti.

I motivi per cui Chrome lo segnala come non sicuro sono  - Viene caricato su HTTP non su HTTPS.  - Lo script o la pagina richiesti provengono da un altro dominio (Bing.com) non lo stesso o il sottodominio del dominio live.com.

Quindi non preoccuparti pensando che Google Chrome abbia rilevato un'unità come dannosa. Si tratta solo del contenuto che viene caricato da un sito diverso e un URL non HTTPS.

    
risposta data 25.12.2015 - 18:37
fonte

Leggi altre domande sui tag