Qual è la sicurezza effettiva di questa pagina di accesso?

3

Visita link

Se visito questo sito usando il mio browser web Safari 6, questa pagina non mostra il normale indicatore di sicurezza che i siti sicuri mostrano normalmente.

Questo significa necessariamente che questa pagina di accesso non è sicura?

Tuttavia, il collegamento viene visualizzato come sicuro, secondo Safari 6.

Quindi la domanda è: come posso sapere se un determinato sito https è sicuro, quando non mostra il normale segno di sicurezza?

    
posta SecurityClown 21.08.2012 - 17:40
fonte

3 risposte

11

Alcuni elementi della pagina non vengono inviati tramite HTTPS. Ciò significa che quegli elementi possono essere letti da chiunque possa annusare la rete, o modificati in transito da un attaccante attivo. Ciò potrebbe comportare che un utente malintenzionato esegua JavaScript sulla pagina. In quanto tale, il tuo browser ti avverte che la pagina è, per la maggior parte degli scopi, l'equivalente di non che viene crittografato.

    
risposta data 21.08.2012 - 17:44
fonte
3

Se dai un'occhiata all'origine della pagina (ad es. tramite lo strumento inspect element di Chrome) , puoi vedere che il foglio di stile per la pagina specifica determinati elementi dell'immagine.

EDIT: bobince è corretto, le mie scuse. Il problema è infatti che alcune immagini sono pubblicate tramite http:

background:url(http://devimages.apple.com/global/elements/layout/forums/apple.gif)

Quindi quegli elementi dell'immagine non sono sicuri. Ciò comporta l'avviso sulle risorse non sicure su una pagina HTTPS.

    
risposta data 21.08.2012 - 18:02
fonte
0

È buona norma avere l'intero contenuto di un sito Web protetto tramite SSL. Nel caso in cui hai menzionato si è verificato quanto segue:

  1. L'handshake della connessione SSL è andato a buon fine con il browser e il server. Le negoziazioni e le convalide dei certificati vengono eseguite come richiesto.
  2. Viene garantito all'utente che sta visualizzando la pagina ospitata dalla parte che è destinata a essere.
  3. Non tutti i contenuti visibili nella pagina provengono dall'URL. Ci sono alcuni collegamenti nel codice HTML che rimandano ad altri server (o allo stesso server che collegano a riferimenti statici in contesti diversi) in Internet da cui vengono recuperati e visualizzati dati come immagini o testo.
  4. La cosa importante è che il nome utente e la password che stai per digitare devono essere inviati al server solo nella sessione SSL e in formato cifrato, il che è molto importante.

Come ho detto prima, non è la migliore pratica, per aumentare la fiducia e la fiducia dell'utente, si consiglia di avere tutti i dati visualizzati nella pagina per essere caricati dallo stesso server utilizzando la sessione SSL.

Il draw back è che SSL mette in testa i dati che non sono desiderati per immagini statiche e testo che non sono molto importanti. Dipende dai requisiti aziendali. Se milioni di persone colpiscono la pagina ogni giorno di quello che sarà importante per l'azienda in termini di larghezza di banda utilizzata dai server. In genere, i siti bancari non seguiranno mai l'approccio dei dati parziali in SSL e alcuni in non SSL, in quanto possono avere un impatto grave sulla risposta dell'utente.

    
risposta data 23.08.2012 - 11:03
fonte

Leggi altre domande sui tag