Итак, на веб-сайте я получаю это всплывающее окно от Firefox:
Я пошел вперед и спросил сайт об этом, и они говорят, что логин очень хорошо представлен в зашифрованном виде. Почему я все еще получаю всплывающее окно? Кто врет? Как я могу узнать?
2 ответа
4
Браузер обнаруживает, что сайт выполняет по крайней мере одно из следующих действий:
Не использует https
Соединение шифруется только частично (веб-сайты с самозаверяющими сертификатами или сертификатами, которые не выданы доверенным органом).
Использует слабое шифрование.
Последние две проблемы - это случаи, когда даже при использовании шифрования соединение не является сильно или полностью зашифрованным, открывая дверь для прослушивания или атак «человек посередине».
Вы можете перейти к «Дополнительная информация» и проверить используемое шифрование:
И, кликнув на View Certificate, вы можете увидеть детали сертификата, используемого веб-сайтом:
1
они говорят, что логин очень хорошо представлен в зашифрованном виде
Это не достаточно хорошо. Не имеет значения, отправлена ли форма входа в пункт назначения HTTPS, если страница, на которой отображается форма входа, сама по себе не зашифрована.
Это на самом деле объясняется в собственной документации Mozilla.
Я считаю, что это то, что вы видите:
- Форма входа отображается на сайте HTTP
- Кнопка отправки формы авторизации переходит на сайт HTTPS
Вот что требуется для обеспечения безопасности:
- Форма входа отображается на сайте HTTP S
- Кнопка отправки формы авторизации переходит на сайт HTTPS
Другая возможность заключается в том, что они встроили HTTPS-фрейм в документ HTTP, что приводит к аналогичным проблемам.
Зачем? Поскольку сама форма входа не защищена, злоумышленник не может помешать изменению указанной формы. Это означает, что они могут изменить форму и сделать так, чтобы она отправлялась на сайт без HTTPS или даже на другой сайт целиком! Они также могут внедрить сценарий, который фиксирует ваши нажатия клавиш и отправляет их на сайт, контролируемый злоумышленником, еще до того, как вы отправите логин.
После этого, Firefox покажет предупреждение , если форма Логин сам не обнаружен на не-HTTPS сайта, независимо от того , что он подчиняясь.
Это очень распространенная проблема, и многие операторы сайтов (включая сайты, которые вы ожидаете быть очень защищенными, например банки), похоже, не знают (или просто не заботятся). У Троя Ханта есть несколько отличных постов в блоге, посвященных этой проблеме, которые появились пять лет назад И, конечно, это все еще общая проблема сегодня.