Firefox «Это соединение не защищено» для формы входа

Question 1

они говорят, что логин очень хорошо зашифрован

Этоне достаточно хорош. Не имеет значения, отправлена ли форма входа на HTTPS-адрес, если страница, на которой отображается форма входа, сама по себе не зашифрована.

Это на самом деле объясняетсяпо собственной документации Mozilla.

Я полагаю, что это то, что вы видите:

Форма входа отображается на HTTP-сайте
Кнопка отправки формы входа ведет на сайт HTTPS

Вот что требуется для обеспечения безопасности:

Форма входа отображается на HTTPСсайт
Кнопка отправки формы входа ведет на сайт HTTPS

Другая возможностьзаключается в том, что они встроили HTTPS-iframe в HTTP-документ, что приводит к аналогичным проблемам.

Почему? Поскольку сама форма входа не защищена, ничто не мешает злоумышленнику изменить указанную форму. Это означает, что они могутизменятьформу и заставить ее отправить на сайт, не поддерживающий HTTPS, или даже на другой сайт! Они также могут внедрить скрипт, который перехватывает нажатия клавиш и отправляет их на контролируемый злоумышленником сайт еще до того, как вы отправите логин.

После этого Firefox будет показывать предупреждение, если сама форма входа будет обнаружена на сайте, не поддерживающем HTTPS, независимо от того, что именно она отправляет.к.

Это очень распространенная проблема, и многие операторы сайтов (включая сайты, которые, как вы ожидаете, должны быть очень безопасными, например, банки) похоже, не знают об этом (или просто не заботятся). У Троя Ханта есть несколько замечательных постов в блоге, посвященных этой проблеме,датируемый пятью годами ранее. И конечно же этовсе еще распространенная проблема сегодня.

Answer

они говорят, что логин очень хорошо зашифрован

Этоне достаточно хорош. Не имеет значения, отправлена ли форма входа на HTTPS-адрес, если страница, на которой отображается форма входа, сама по себе не зашифрована.

Это на самом деле объясняетсяпо собственной документации Mozilla.

Я полагаю, что это то, что вы видите:

Форма входа отображается на HTTP-сайте
Кнопка отправки формы входа ведет на сайт HTTPS

Вот что требуется для обеспечения безопасности:

Форма входа отображается на HTTPСсайт
Кнопка отправки формы входа ведет на сайт HTTPS

Другая возможностьзаключается в том, что они встроили HTTPS-iframe в HTTP-документ, что приводит к аналогичным проблемам.

Почему? Поскольку сама форма входа не защищена, ничто не мешает злоумышленнику изменить указанную форму. Это означает, что они могутизменятьформу и заставить ее отправить на сайт, не поддерживающий HTTPS, или даже на другой сайт! Они также могут внедрить скрипт, который перехватывает нажатия клавиш и отправляет их на контролируемый злоумышленником сайт еще до того, как вы отправите логин.

После этого Firefox будет показывать предупреждение, если сама форма входа будет обнаружена на сайте, не поддерживающем HTTPS, независимо от того, что именно она отправляет.к.

Это очень распространенная проблема, и многие операторы сайтов (включая сайты, которые, как вы ожидаете, должны быть очень безопасными, например, банки) похоже, не знают об этом (или просто не заботятся). У Троя Ханта есть несколько замечательных постов в блоге, посвященных этой проблеме,датируемый пятью годами ранее. И конечно же этовсе еще распространенная проблема сегодня.

Question 2

Браузер обнаруживает, что сайт выполняет по крайней мере одно из следующих действий:

Не используетсяhttps
Соединение зашифровано лишь частично (веб-сайты с самоподписанными сертификатами или сертификатами, не выданными доверенным органом).
Использует слабое шифрование.

Последние две проблемы возникают, когда даже при использовании шифрования соединение не зашифровано надежно или полностью, что открывает возможности для подслушивания или атак типа «злоумышленник посередине».

Вы можете перейти в раздел «Дополнительная информация» и проверить используемое шифрование:

И нажав наПосмотреть сертификатВы можете увидеть подробную информацию о сертификате, используемом на сайте:

Answer

Браузер обнаруживает, что сайт выполняет по крайней мере одно из следующих действий:

Не используетсяhttps
Соединение зашифровано лишь частично (веб-сайты с самоподписанными сертификатами или сертификатами, не выданными доверенным органом).
Использует слабое шифрование.

Последние две проблемы возникают, когда даже при использовании шифрования соединение не зашифровано надежно или полностью, что открывает возможности для подслушивания или атак типа «злоумышленник посередине».

Вы можете перейти в раздел «Дополнительная информация» и проверить используемое шифрование:

И нажав наПосмотреть сертификатВы можете увидеть подробную информацию о сертификате, используемом на сайте:

Firefox «Это соединение не защищено» для формы входа

решение1

решение2

Связанный контент