ウェブサイトは安全ではありません

ウェブサイトは安全ではありません

私は SSL 経由で Pandora にアクセスしていますが、URL の横にいくつかのアイコンがあることに気が付きました。最初は三角形の中に感嘆符があり、ページが完全に安全ではないことを示しています。

安全ではありません

その横に盾がありますか? これは安全でないコンテンツはブロックされていることを示しています。

安全です

これらの記述は、少なくとも私にとっては、正反対のように思えます。誰か私に説明してもらえますか? 私の接続は安全ですか?

Windows 7のFirefox 30.0からアクセスしました。どこでもHTTPSインストールされました。

答え1

これは「混合コンテンツ」ページと呼ばれます。

HTTPS ページに通常のクリアテキスト HTTP 経由で取得されたコンテンツが含まれている場合、接続は部分的にしか暗号化されません。暗号化されていないコンテンツはスニファにアクセス可能であり、中間者攻撃者によって変更される可能性があるため、接続は保護されなくなります。

https://developer.mozilla.org/en-US/docs/セキュリティ/MixedContent

これらの記述は矛盾しているわけではなく、補完的であり、少し混乱を招くかもしれません。最初の記述では、ページ自体には暗号化されていない要素が含まれているため完全には安全ではないと述べられています (すべての Web ブラウザーでこのことが通知されます)。一方、2 番目の記述では、これらの要素が Firefox によって自動的にブロックされていると述べられています。

Firefox が暗号化されていない要素をブロックしない場合、厳密に言えばページは安全ではありません。

(HTTPS Everywhere は安全な接続を保証するものではありません。HTTPS が利用可能な場合にのみ強制的に使用しようとします。HTTPS が利用できない場合は、ユーザー/ブラウザが安全でないコンテンツをブロックする以外にできることは何もありません。)

答え2

一般的な Web ページは、さまざまなストリームで読み込まれます。画像などの一部のストリームは HTTPS を使用して読み込まれますが、一部は HTTP で読み込まれる場合があります。

テキストには、HTTP で読み込まれたものはブロックされるということが書かれています。ページのソースを見ると、コンテンツの一部が HTTP として参照されていることがわかるでしょう。

答え3

HTTP 経由で Web サイトにアクセスすると、接続が盗聴や中間者 (MiTM) 攻撃に対して脆弱になります。機密情報 (個人を特定できる情報、社会保障番号、クレジットカードなど) をやり取りしないサイト。完全に HTTPS 経由で提供されるページ (PayPal や金融機関など) にアクセスすると、接続は認証され、暗号化されます。ただし、Web サイトが HTTP コンテンツと HTTPS 経由で提供されるコンテンツをホストしている場合、一般に混合コンテンツ ページ/サイトと呼ばれます。Firefox などのほとんどのブラウザーは、安全でないコンテンツを自動的にブロックします。ほとんどのページは適切に表示され、サイトの安全な部分を閲覧することはできます。

それで、あなたは安全ですか、それとも安全ではありませんか? インターネットを閲覧するときに完全に安全になることは決してありません。したがって、あなたのセッションは「安全」であるか、ユーザー側から得られる限りの安全であると言っても過言ではないと思います。

あなたの質問に答えられたと思います。

関連情報