Ich greife über SSL auf Pandora zu und sehe einige Symbole neben der URL. Das erste ist das Ausrufezeichen in einem Dreieck, das anzeigt, dass die Seite nicht vollständig sicher ist:
Daneben befindet sich ein Schild. Dieses besagt, dass nicht sichere Inhalte blockiert werden.
Diese Aussagen scheinen sich zumindest für mich zu widersprechen. Kann mir das jemand erklären? Ist meine Verbindung sicher oder nicht?
Zugriff über Firefox 30.0 unter Windows 7. Ich habe auchHTTPS überallEingerichtet.
Antwort1
Dies wird als Seite mit „gemischtem Inhalt“ bezeichnet.
Wenn die HTTPS-Seite Inhalte enthält, die über normales, klares HTTP abgerufen wurden, ist die Verbindung nur teilweise verschlüsselt: Die unverschlüsselten Inhalte sind für Sniffer zugänglich und können von Man-in-the-Middle-Angreifern geändert werden, wodurch die Verbindung nicht mehr geschützt ist.
https://developer.mozilla.org/en-US/docs/Security/MixedContent
Die Aussagen widersprechen einander nicht, sondern ergänzen sich; und sind vielleicht ein wenig verwirrend. Die erste besagt, dass die Seite selbst nicht vollständig sicher ist, da sie unverschlüsselte Elemente enthält (alle Webbrowser weisen Sie darauf hin), während die zweite feststellt, dass diese Elemente von Firefox automatisch blockiert wurden.
Wenn Firefox die unverschlüsselten Elemente nicht blockieren würde, wäre die Seite strenggenommen nicht sicher.
(HTTPS Everywhere garantiert keine sichere Verbindung. Es wird nur versucht, HTTPS zu erzwingen, wenn es verfügbar ist. Ist dies nicht der Fall, kann ein Benutzer/Browser nichts dagegen tun, außer den unsicheren Inhalt zu blockieren.)
Antwort2
Eine typische Webseite wird in vielen verschiedenen Streams geladen. Einige der Streams, z. B. Bilder, werden möglicherweise über HTTPS geladen, andere über HTTP.
Der Text besagt lediglich, dass die mit HTTP geladenen Dateien blockiert werden. Wenn Sie sich den Quelltext der Seite ansehen, werden Sie wahrscheinlich feststellen, dass ein Teil des Inhalts als HTTP referenziert wird.
Antwort3
Wenn Sie eine Website über HTTP besuchen, ist Ihre Verbindung anfällig für Lauschangriffe und Man-in-the-Middle-Angriffe (MiTM). Websites, die keine vertraulichen Informationen hin und her senden (personenbezogene Daten, Sozialversicherungsnummern, Kreditkarten usw.). Wenn Sie eine Seite besuchen, die vollständig über HTTPS bereitgestellt wird (wie PayPal und Finanzinstitute), wird Ihre Verbindung authentifiziert und verschlüsselt. Wenn eine Website jedoch sowohl HTTP-Inhalte als auch über HTTPS bereitgestellte Inhalte hostet, wird dies allgemein als Seite/Site mit gemischten Inhalten bezeichnet. Die meisten Browser, wie Firefox, blockieren automatisch den Inhalt, der nicht sicher ist. Die meisten Seiten werden weiterhin ordnungsgemäß angezeigt und Sie können weiterhin im sicheren Teil der Site surfen.
Sind Sie also sicher oder nicht? Da wir beim Surfen im Internet nie völlig sicher sind, kann man wohl mit Sicherheit sagen, dass Ihre Sitzung „sicher“ ist oder so sicher, wie sie vom Benutzer aus möglich ist.
Ich hoffe, ich habe Ihre Frage beantwortet.