Я захожу на Pandora через SSL и замечаю несколько значков рядом с URL. Первый — восклицательный знак в треугольнике, указывающий на то, что страница не полностью защищена:
Рядом с ним щит? Этот говорит, что небезопасный контент блокируется.
Эти утверждения, по крайней мере, мне кажутся противоположными. Может ли кто-нибудь объяснить мне это? Защищено ли мое соединение или нет?
Доступ через Firefox 30.0 на Windows 7. У меня также естьHTTPS вездеустановлен.
решение1
Это называется страницей со «смешанным содержимым».
Если страница HTTPS включает контент, полученный через обычный открытый HTTP-протокол, то соединение шифруется лишь частично: незашифрованный контент доступен снифферам и может быть изменен злоумышленниками, использующими атаку «человек посередине», и, следовательно, соединение больше не защищено.
https://developer.mozilla.org/en-US/docs/Security/MixedContent
Заявления не противоречат друг другу, а дополняют друг друга; и, возможно, немного сбивают с толку. В первом говорится, что сама страница не полностью защищена, поскольку содержит незашифрованные элементы (все веб-браузеры сообщат вам об этом), тогда как во втором отмечается, что эти элементы были автоматически заблокированы Firefox.
Если бы Firefox не блокировал незашифрованные элементы, то, строго говоря, страница не была бы защищена.
(HTTPS Everywhere не гарантирует безопасное соединение. Он будет пытаться принудительно использовать HTTPS только тогда, когда он доступен; если он недоступен, пользователь/браузер ничего не может с этим поделать, кроме как заблокировать незащищенный контент.)
решение2
Типичная веб-страница будет загружаться множеством различных потоков. Некоторые потоки, такие как изображения, могут загружаться с использованием HTTPS, но некоторые могут загружаться с использованием HTTP.
Текст просто говорит, что те, которые загружены с HTTP, будут заблокированы. Если вы посмотрите на исходный код страницы, вы, вероятно, увидите, что часть контента ссылается на HTTP.
решение3
Когда вы посещаете веб-сайт по протоколу HTTP, ваше соединение уязвимо для подслушивания и атак типа «человек посередине» (MiTM). Сайты, которые не передают конфиденциальную информацию туда и обратно (персональную идентификационную информацию, номера социального страхования, кредитные карты и т. д.). Когда вы посещаете страницу, которая полностью обслуживается по протоколу HTTPS (например, PayPal и финансовые учреждения), ваше соединение аутентифицируется и шифруется. Однако, когда веб-сайт размещает как HTTP-контент, так и контент, обслуживаемый по протоколу HTTPS, его обычно называют страницей/сайтом со смешанным контентом. Большинство браузеров, таких как Firefox, автоматически блокируют незащищенный контент. Большинство страниц по-прежнему будут отображаться правильно, и вы по-прежнему сможете просматривать защищенную часть сайта.
Так вы в безопасности или нет? Поскольку мы никогда не бываем полностью защищены при просмотре интернета, я думаю, можно с уверенностью сказать, что ваш сеанс «безопасен» или настолько безопасен, насколько это возможно со стороны пользователя.
Надеюсь, я ответил на ваш вопрос.