Che cosa succede se la maggior parte della pagina viene pubblicata correttamente tramite SSL (HTTPS) ma c'è qualche file javascript randagio che viene servito non crittografato (HTTP)?
Qual è il rischio qui? Grazie
Se qualcuno può inserire il mio codice JavaScript nella pagina, per esempio rubando una connessione non protetta, allora può sostanzialmente prendere il controllo di tutta la pagina.
Ad esempio, supponiamo che tu stia cercando di accedere a quel sito Web che memorizza tutte le tue informazioni personali ™, ma uno dei file JavaScript viene servito su una connessione non sicura. Un dipendente canaglia al tuo ISP intercetta questa connessione e inietta il codice JavaScript che, quando fai clic sul pulsante "Accedi", prende il nome utente e la password che hai inserito e lo manda a se stesso. Ora ha il controllo sulle tue informazioni di accesso e può potenzialmente rubare la tua identità, in base alle informazioni che può trovare nella pagina del tuo account (come nome completo, indirizzo, numero di telefono, ultime quattro cifre del numero della carta di credito, ecc.)
Puoi essere servito da un file javascript malevolo che finge di essere tuo - tramite un uomo nell'attacco centrale . Da lì il file può eseguire il codice che attaccherà il tuo utente: ad es. richiedi la password dell'utente (fingendo una richiesta di nuovo accesso) e invialo in un'altra posizione. E ci sono altri esempi.
Leggi altre domande sui tag tls