그래서 웹사이트의 Firefox에서 다음 팝업이 표시됩니다.
나는 계속해서 웹사이트에 그것에 대해 물었고 그들은 로그인이 매우 잘 암호화되어 제출되었다고 말했습니다. 왜 여전히 팝업이 표시되나요? 누가 거짓말을 하고 있나요? 어떻게 알 수 있나요?
답변1
그들은 로그인이 매우 잘 암호화되어 제출되었다고 말합니다
그건충분하지. 로그인 양식이 표시되는 페이지 자체가 암호화되지 않은 경우 로그인 양식이 HTTPS 대상에 제출되는지 여부는 중요하지 않습니다.
이것은 실제로 설명됩니다.Mozilla 자체 문서.
나는 이것이 당신이 보고 있는 것이라고 믿습니다:
- 로그인 양식이 HTTP 사이트에 표시됩니다.
- 로그인 양식 제출 버튼이 HTTPS 사이트로 이동합니다.
보안을 유지하려면 다음이 필요합니다.
- 로그인 양식이 HTTP에 표시됩니다.에스대지
- 로그인 양식 제출 버튼이 HTTPS 사이트로 이동합니다.
또 다른 가능성비슷한 문제가 발생하는 HTTP 문서 내에 HTTPS iframe을 삽입했다는 것입니다.
왜? 로그인 양식 자체는 보안되지 않기 때문에 공격자가 해당 양식을 수정하는 것을 막을 방법이 없습니다. 이는 그들이 할 수 있다는 것을 의미합니다변화양식을 작성하여 HTTPS가 아닌 사이트나 다른 웹사이트에 제출하도록 하세요! 또한 사용자가 로그인을 제출하기 전에 키 누르기를 캡처하여 공격자가 제어하는 사이트로 보내는 스크립트를 삽입할 수도 있습니다.
이에 따라 Firefox는 제출 내용에 관계없이 HTTPS가 아닌 사이트에서 로그인 양식 자체가 감지되면 경고를 표시합니다.에게.
이는 매우 일반적인 문제이며 많은 사이트 운영자(은행 등 보안이 매우 안전하다고 기대하는 사이트 포함)가 이를 인식하지 못하는 것 같습니다(또는 전혀 관심이 없는 것 같습니다). Troy Hunt에는 이 문제를 다루는 훌륭한 블로그 게시물이 있습니다.5년 전으로 거슬러 올라가. 그리고 물론이죠오늘날에도 여전히 흔한 문제.
답변2
브라우저는 사이트가 다음 중 하나 이상을 수행하고 있음을 감지합니다.
사용하지 않음https
연결은 부분적으로만 암호화됩니다(자체 서명 인증서가 있는 웹사이트 또는 신뢰할 수 있는 기관에서 발급하지 않은 인증서가 있는 웹사이트).
약한 암호화를 사용하고 있습니다.
마지막 두 가지 문제는 암호화를 사용해도 연결이 강력하거나 완전히 암호화되지 않아 도청이나 중간자 공격의 가능성이 있는 경우입니다.
'추가 정보'로 이동하여 사용된 암호화를 확인할 수 있습니다.
그리고 클릭하면인증서 보기웹사이트에서 사용하는 인증서의 세부정보를 확인할 수 있습니다.
