所以在一個網站上,我從 Firefox 中看到了這個彈出視窗:
我繼續詢問該網站,他們說登入資訊已加密提交。為什麼我仍然收到彈出視窗?誰在說謊?我怎麼才能找到答案?
答案1
他們說登入資訊提交加密得很好
那是還不夠好。如果顯示登入表單的頁面本身未加密,則登入表單是否提交到 HTTPS 目標並不重要。
這實際上已經解釋了Mozilla 自己的文檔。
我相信這就是您所看到的:
- 登入表單顯示在 HTTP 網站上
- 登入表單提交按鈕前往 HTTPS 站點
這是安全所需要的:
- 登入表單顯示在 HTTP 上S地點
- 登入表單提交按鈕前往 HTTPS 站點
另一種可能性是他們在 HTTP 文件中嵌入了 HTTPS iframe,這也遇到了類似的問題。
為什麼?由於登入表單本身並不安全,因此無法阻止攻擊者修改所述表單。這意味著他們可以改變表單並使其提交到非 HTTPS 網站,甚至完全是另一個網站!他們還可以注入腳本來捕獲您的按鍵並將其發送到攻擊者控制的站點,甚至在您提交登入之前。
此後,如果在非 HTTPS 網站上偵測到登入表單本身,無論提交什麼內容,Firefox 都會顯示警告到。
這是一個非常常見的問題,許多網站運營商(包括您希望非常安全的網站,例如銀行)似乎沒有意識到(或只是不在乎)。 Troy Hunt 有一些很棒的部落格文章探討了這個問題,追溯到五年前。當然是今天仍然是一個常見問題。
答案2
瀏覽器偵測到網站至少正在執行以下操作之一:
不使用https
連線僅部分加密(具有自簽名憑證或非受信任機構所頒發的憑證的網站)。
正在使用弱加密。
最後兩個問題是即使使用加密,連接也沒有被強加密或完全加密,從而為竊聽或中間人攻擊打開了大門。
您可以轉到“更多資訊”並檢查所使用的加密:
並點擊查看證書您可以查看網站使用的證書的詳細資訊:
