あるウェブサイトで、Firefox から次のポップアップが表示されます:
私は先に進んでウェブサイトに問い合わせたところ、ログインは暗号化されて送信されるとのことでした。なぜまだポップアップが表示されるのでしょうか? 誰が嘘をついているのでしょうか? どうすればわかるのでしょうか?
答え1
ログインは暗号化されて送信されると彼らは言う
それは十分じゃないログイン フォームが表示されるページ自体が暗号化されていない場合、ログイン フォームが HTTPS の宛先に送信されても問題ありません。
これは実際に説明されているMozillaのドキュメント。
あなたが見ているのは次のものだと思います:
- HTTPサイトにログインフォームが表示される
- ログインフォームの送信ボタンはHTTPSサイトに移動する
安全を確保するために必要なことは次のとおりです。
- ログインフォームはHTTP上に表示されますスサイト
- ログインフォームの送信ボタンはHTTPSサイトに移動する
もう一つの可能性HTTP ドキュメント内に HTTPS iframe が埋め込まれているため、同様の問題が発生します。
なぜか?ログインフォーム自体が保護されていないため、攻撃者がフォームを変更するのを阻止する手段がないのです。つまり、変化フォームを不正に編集して、HTTPS 以外のサイトやまったく別の Web サイトに送信するように仕向けることもできます。また、ログインを送信する前に、キー入力をキャプチャして攻撃者が管理するサイトに送信するスクリプトを挿入することもできます。
これに続いて、Firefoxは、ログインフォーム自体が非HTTPSサイトで検出された場合、送信内容に関係なく警告を表示します。に。
これは非常によくある問題で、多くのサイト運営者(銀行など、非常に安全であると期待されるサイトも含む)は気づいていない(または気にしていない)ようです。Troy Hunt は、この問題について調査した素晴らしいブログ記事をいくつか書いています。5年前に遡るそしてもちろんそれは今日でもよくある問題。
答え2
ブラウザは、サイトが少なくとも次のいずれかを実行していることを検出します。
使用していないhttps
接続は部分的にのみ暗号化されています (自己署名証明書または信頼できる機関によって発行されていない証明書を持つ Web サイト)。
弱い暗号化を使用しています。
最後の 2 つの問題は、暗号化を使用しても接続が強力または完全に暗号化されず、盗聴や中間者攻撃を受ける可能性があるケースです。
「詳細情報」に移動して、使用されている暗号化を確認できます。
そしてクリックするとビューの証明書ウェブサイトで使用されている証明書の詳細を確認できます。
