Il download non SSL comporta il rischio teorico (e anche pratico) di essere intercettato da un attaccante attivo, che farà "qualcos'altro" con esso.
Javascript, da solo, non può eseguire download al di fuori del proprio dominio; questo è il punto della Politica Same-Origin . Poiché Javascript è caricato dal dominio bancario ( foo.com
) ma il download proviene da l.longtailvideo.com
, allora si deve supporre che Javascript abbia richiesto al browser di effettuare il download, molto probabilmente inserendo un <img>
tag nella pagina HTML.
I browser sono, generalmente parlando, ben protetti contro le immagini dannose; in caso contrario, verrebbe compromesso quando si eseguono ricerche su Google o si accede a vari forum, poiché in molti forum è possibile incorporare collegamenti a immagini esterne.
Nel tuo caso, l'immagine è il logo di un video player in Javascript / Flash (a seconda di cosa può fare il browser); Penso che sia questo , anche se forse una versione precedente perché il loro logo sembra essere cambiato. Questo post del blog indica indirettamente che il giocatore con il logo che osservi era la "versione più recente" più di due anni fa.
Qual è la cosa peggiore che potrebbe accadere? Suppongo che il logo sia visualizzato da qualche parte sulla pagina. Un attaccante laborioso potrebbe sostituire il contenuto del logo con una sua immagine, possibilmente un'immagine più grande che potrebbe interrompere il layout della pagina.
Ci sono cose peggiori, però. L'utente malintenzionato potrebbe restituire un "reindirizzamento" HTTP per fare in modo che il browser invii una richiesta GET a qualsiasi altro URL arbitrario. Probabilmente troverai questa domanda precedente interessante: discute cosa potrebbe accadere con un tag <img>
indicando un server controllato da un utente malintenzionato. Questo vale per il tuo caso.
Ad ogni modo , il semplice fatto che il tuo browser ti avverta è una brutta cosa: o l'avvertimento è importante, e questo è un avviso di sicurezza che dovrebbe essere trattato come tale; o l'avviso è spuria, e allena l'utente a ignorare gli avvisi di sicurezza, il che non è affatto buono a lungo termine.