Estou acessando o Pandora via SSL e noto alguns ícones perto da URL. O primeiro é o ponto de exclamação em um triângulo, indicando que a página não é totalmente segura:
Ao lado há um escudo? Este diz que o conteúdo que não é seguro está bloqueado.
Essas afirmações, pelo menos para mim, parecem opostas. Alguém pode me explicar isso? Minha conexão é segura ou não?
Acessado via Firefox 30.0 no Windows 7. Também tenhoHTTPS em qualquer lugarinstalado.
Responder1
Isso é chamado de página de “conteúdo misto”.
Se a página HTTPS incluir conteúdo recuperado por meio de HTTP de texto simples e regular, a conexão será apenas parcialmente criptografada: o conteúdo não criptografado será acessível a sniffers e poderá ser modificado por invasores man-in-the-middle e, portanto, a conexão não estará mais protegida .
https://developer.mozilla.org/en-US/docs/Security/MixedContent
As afirmações não são contraditórias, mas complementares; e um pouco confuso talvez. O primeiro diz que a página em si não é totalmente segura porque contém elementos não criptografados (todos os navegadores irão notificá-lo sobre isso), enquanto o segundo observa que esses elementos foram bloqueados automaticamente pelo Firefox.
Se o Firefox não bloqueasse os elementos não criptografados, a rigor, a página não seria segura.
(HTTPS Everywhere não garante uma conexão segura. Ele só tentará forçar o HTTPS quando estiver disponível; se não estiver, não há nada que um usuário/navegador possa fazer sobre isso, a não ser bloquear o conteúdo inseguro.)
Responder2
Uma página da web típica será carregada em vários fluxos diferentes. Alguns dos fluxos, como imagens, podem ser carregados usando HTTPS, mas alguns podem ser carregados por HTTP.
O texto está apenas dizendo que aqueles carregados com HTTP serão bloqueados. Se você olhar a fonte da página, provavelmente verá que parte do conteúdo é referenciado como HTTP.
Responder3
Quando você visita um site via HTTP, sua conexão fica vulnerável a espionagem e ataques man-in-the-middle (MiTM). Sites que não transmitem informações confidenciais (informações de identificação pessoal, números de previdência social, cartão de crédito, etc.). Quando você visita uma página totalmente atendida por HTTPS (como PayPal e instituições financeiras), sua conexão é autenticada e criptografada. No entanto, quando um site hospeda conteúdo HTTP, bem como conteúdo servido por HTTPS, ele é comumente chamado de página/site de conteúdo misto. A maioria dos navegadores, como o Firefox, bloqueia automaticamente o conteúdo que não é seguro. A maioria das páginas ainda será exibida corretamente e você ainda poderá navegar na parte segura do site.
Então você está seguro ou não? Como nunca estamos totalmente seguros ao navegar na Internet; Acho que é seguro dizer que sua sessão é "segura" ou o mais segura possível do lado do usuário.
Espero ter respondido sua pergunta.