Quando visiti https://security.stackexchange.com/
, in alcuni casi ti verrà offerto contenuto (in particolare, annunci pubblicati) che supera il http
anziché https
. La maggior parte dei browser moderni avviserà quando questo accade come stai vedendo.
I rischi sono che il contenuto che viene offerto su connessioni non TLS può essere visualizzato e manipolato prima di raggiungere il browser in un canale altrimenti crittografato. Inoltre, tutti i cookie che non sono contrassegnati come sicuri mentre i contenuti all'interno dello stesso URL sono pubblicati su http
e https
saranno esposti.
Esempio:
https://www.example.com/
pubblica contenuti misti da http://cdn.example.com/
. Tutti i cookie con ambito .example.com
che non hanno il set di flag sicuro verranno esposti mentre il tuo browser recupera risorse da http://cdn.example.com/
.
Non solo annunci, ma anche all'interno di SE stessa: <script src="http://area51.stackexchange.com/ads/proposal/js?id=a51-ad-container"type="text/javascript"></script>
.