Итак, на веб-сайте я получаю это всплывающее окно от Firefox:

Я пошел вперед и спросил сайт об этом, и они говорят, что логин очень хорошо представлен в зашифрованном виде. Почему я все еще получаю всплывающее окно? Кто врет? Как я могу узнать?

2 ответа2

4

Браузер обнаруживает, что сайт выполняет по крайней мере одно из следующих действий:

  • Не использует https

  • Соединение шифруется только частично (веб-сайты с самозаверяющими сертификатами или сертификатами, которые не выданы доверенным органом).

  • Использует слабое шифрование.

Последние две проблемы - это случаи, когда даже при использовании шифрования соединение не является сильно или полностью зашифрованным, открывая дверь для прослушивания или атак «человек посередине».

Вы можете перейти к «Дополнительная информация» и проверить используемое шифрование:

И, кликнув на View Certificate, вы можете увидеть детали сертификата, используемого веб-сайтом:

1

они говорят, что логин очень хорошо представлен в зашифрованном виде

Это не достаточно хорошо. Не имеет значения, отправлена ли форма входа в пункт назначения HTTPS, если страница, на которой отображается форма входа, сама по себе не зашифрована.

Это на самом деле объясняется в собственной документации Mozilla.


Я считаю, что это то, что вы видите:

  • Форма входа отображается на сайте HTTP
  • Кнопка отправки формы авторизации переходит на сайт HTTPS

Вот что требуется для обеспечения безопасности:

  • Форма входа отображается на сайте HTTP S
  • Кнопка отправки формы авторизации переходит на сайт HTTPS

Другая возможность заключается в том, что они встроили HTTPS-фрейм в документ HTTP, что приводит к аналогичным проблемам.


Зачем? Поскольку сама форма входа не защищена, злоумышленник не может помешать изменению указанной формы. Это означает, что они могут изменить форму и сделать так, чтобы она отправлялась на сайт без HTTPS или даже на другой сайт целиком! Они также могут внедрить сценарий, который фиксирует ваши нажатия клавиш и отправляет их на сайт, контролируемый злоумышленником, еще до того, как вы отправите логин.

После этого, Firefox покажет предупреждение , если форма Логин сам не обнаружен на не-HTTPS сайта, независимо от того , что он подчиняясь.


Это очень распространенная проблема, и многие операторы сайтов (включая сайты, которые вы ожидаете быть очень защищенными, например банки), похоже, не знают (или просто не заботятся). У Троя Ханта есть несколько отличных постов в блоге, посвященных этой проблеме, которые появились пять лет назад И, конечно, это все еще общая проблема сегодня.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .