Przy wszystkich problemach, jakie można napotkać naInternet, zawsze dobrze jest mieć możliwie bezpieczne połączenie. Ale co robisz, gdy przeglądarka mówi, że bezpieczna strona internetowa nie jest w pełni bezpieczna? Dzisiejszy post SuperUser Q&A zawiera odpowiedź na pytanie zmartwionego czytelnika.
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - podgrupy Stack Exchange, grupy stron z pytaniami i odpowiedziami kierowanych przez społeczność.
Pytanie
Czytelnik SuperUser David Starkey chce wiedzieć, dlaczego jego przeglądarka twierdzi, że bezpieczna strona internetowa nie jest w pełni bezpieczna:
Uzyskiwałem dostęp do Pandory przez SSL i zauważyłem kilka ikon pod adresem URL. Pierwszy to wykrzyknik w trójkącie, wskazujący, że strona nie jest w pełni bezpieczna.
Obok jest tarcza. Ten mówi, że zawartość, która nie jest bezpieczna, jest zablokowana.
Te stwierdzenia, przynajmniej mi się zdajązaprzeczają sobie. Czy ktoś może mi to wyjaśnić? Czy moje połączenie jest bezpieczne, czy nie? Uzyskałem dostęp do strony Pandora za pomocą przeglądarki Firefox 30.0 w systemie Windows 7. Mam również zainstalowany HTTPS Everywhere.
Co tu się dzieje? Czy połączenie Davida ze stroną Pandora jest bezpieczne, czy nie?
Odpowiedź
Redburn, autor SuperUser, ma dla nas odpowiedź:
Nazywa się to stroną „o mieszanej zawartości”. Z sieci deweloperów Mozilla (zawartość mieszana):
- Jeśli strona HTTPS zawiera pobrane treścipoprzez zwykły, czysty tekst HTTP, połączenie jest tylko częściowo szyfrowane: niezaszyfrowana treść jest dostępna dla snifferów i może być modyfikowana przez atakujących typu man-in-the-middle, dlatego połączenie nie jest już chronione. Gdy strona wykazuje takie zachowanie, nazywa się to mieszana zawartość strona.
Stwierdzenia nie są sprzeczne, alekomplementarne i może trochę mylące. Pierwsza mówi, że sama strona nie jest w pełni bezpieczna, ponieważ zawiera niezaszyfrowane elementy (wszystkie przeglądarki o tym powiadomią), a druga zauważa, że elementy te zostały automatycznie zablokowane przez Firefox.
Gdyby Firefox nie zablokował niezaszyfrowanych elementów, to mówiąc ściśle, strona nie byłaby bezpieczna.
HTTPS Everywhere nie gwarantuje bezpieczeństwapołączenie. Będzie próbował wymusić HTTPS tylko wtedy, gdy jest dostępny; jeśli tak nie jest, użytkownik ani przeglądarka nie może nic na to poradzić poza blokowaniem niezabezpieczonej zawartości.
Masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych zaawansowanych użytkowników Stack Exchange? Sprawdź pełny wątek dyskusji tutaj.
