我透過 SSL 造訪 Pandora,並注意到 URL 旁邊有一些圖示。首先是三角形中的感嘆號,表示頁面不完全安全:
旁邊有一個盾牌?這說的是不安全的內容被阻止。
至少對我來說,這些說法似乎是相反的。誰可以給我解釋一下這個?我的連線安全嗎?
在 Windows 7 上透過 Firefox 30.0 存取。HTTPS 無所不在安裝。
答案1
這稱為「混合內容」頁面。
如果 HTTPS 頁麵包含透過常規明文 HTTP 檢索的內容,則連線僅部分加密:嗅探器可以存取未加密的內容,中間人攻擊者可以修改該內容,因此連線不再受到保護。
https://developer.mozilla.org/en-US/docs/Security/MixedContent
這些說法並不矛盾,而是互補的;也許有點令人困惑。第一個說明頁面本身並不完全安全,因為它包含未加密的元素(所有網頁瀏覽器都會通知您這一點),而第二個說明這些元素已被 Firefox 自動封鎖。
如果 Firefox 不封鎖未加密的元素,那麼嚴格來說該頁面將不安全。
(HTTPS Everywhere 不保證安全連線。它只會在可用時嘗試強制使用 HTTPS;如果不可用,使用者/瀏覽器對此無能為力,只能阻止不安全的內容。)
答案2
典型的網頁將載入到許多不同的流中。某些流(例如圖像)可以使用 HTTPS 加載,但某些流可以透過 HTTP 加載。
文字只是說那些載入 HTTP 的將被阻止。如果您查看頁面的原始程式碼,您可能會看到某些內容被引用為 HTTP。
答案3
當您透過 HTTP 造訪網站時,您的連線很容易受到竊聽和中間人 (MiTM) 攻擊。不來回傳遞敏感資訊(個人識別資訊、社會安全號碼、信用卡等)的網站。當您造訪完全透過 HTTPS 提供服務的頁面(例如 PayPal 和金融機構)時,您的連線將經過驗證和加密。但是,當網站託管 HTTP 內容以及透過 HTTPS 提供的內容時,它通常稱為混合內容頁面/網站。大多數瀏覽器(例如 Firefox)會自動封鎖不安全的內容。大多數頁面仍將正常顯示,您仍然可以瀏覽網站的安全部分。
那你安全還是不安全?因為我們在瀏覽網路時永遠不會完全安全;我認為可以肯定地說您的會話是“安全的”或與從用戶端獲得的會話一樣安全。
我希望我回答了你的問題。