1

Я получил маленький золотой замок перед https:// (который был серым) на www.youtube.com

Сайт использует SSL, но Google Chrome обнаружил небезопасный контент на странице.

Я вошел в YouTube через свою учетную запись Google, на своей домашней странице я заметил несколько странных предложений в правой части страницы, большинство из которых были на другом языке (восточноевропейском). Однако я нахожусь в Великобритании и никогда не смотрел ни одного видео, касающегося этих предложений.

Сразу же я подозревал, что кто-то использует мою учетную запись YouTube извне, поэтому я удалил ее в панике. Моя учетная запись Google остается активной, хотя.

Возможно ли, что я получаю это заявление из-за хромового сбоя? Или что-то более зловещее?

Я прочитал о SSL и понимаю основы его использования, поэтому я чувствую себя довольно обеспокоенным.

|источник

1 ответ1

3

О предупреждающем сообщении:

Это только означает, что на странице есть небезопасный контент, например:

<img src="http://cdn.sstatic.net/superuser/img/favicon.ico" />

Находится на странице, на странице есть контент, который не приходит к вам через ssl (изображение)

Там нет ссылки на кейлоггер, это только означает, что изображение в http не зашифровано, чтобы прийти к вам.

Но в качестве дополнительного примечания, содержащего контент, отсутствующий в https, легче подделать его, например, если на youtube был файл:

<script src="http://www.example.com/script.js"></script>

если бы он был в https, то для этого потребовался бы сертификат, связанный с www.example.com, но в http проще получить плохой результат от dns к ip (внедрение dns, добавление строки в /etc/hosts , ...) (и тогда плохой парень может отправить любой "script.js", он хочет).

(Это также возможно с HTTPS , но плохой парень должен был бы поддельные свидетельства и проверки сертификата , и это сложнее.)

О ваших вопросах:

Возможно ли, что я получаю это заявление из-за хромового сбоя? => нет, должны быть элементы (изображения, flash, css, script, ...), отображаемые на странице, но не в https.

Или что-то более зловещее? => Это небольшая возможность, но только для доступа к учетной записи Google это может быть надуманным (но осторожность - это безопасность, поэтому смена пароля и секретного вопроса может быть полезной).

О Google:

На YouTube вы можете посмотреть историю просмотра видео и историю поиска (но можно удалить записи и установить в режим ожидания историю поиска, поэтому это не совсем безопасно, даже если в истории нет ничего подозрительного)

Точно так же, но лучше, в Gmail (если у вас есть учетная запись Gmail с вашей учетной записью Google) есть последняя активность учетной записи, которая показывает вам время, страну, IP-адрес и метод последних действий.

Поэтому, прежде чем удалить аккаунт, вы могли бы посмотреть его ^^

Об уязвимости Wi-Fi:

Ну, во-первых, все в https будет зашифровано, поэтому, даже если вы используете беспроводную связь, люди не смогут расшифровать любой запрос / ответ на / из содержимого https.

Во-вторых, плохой парень должен находиться в зоне действия вашей точки доступа Wi-Fi.

Поэтому я думаю, что единственная проблема с уязвимостью Wi-Fi (и веб-сайтом в https) должна заключаться в том, чтобы одновременно иметь уязвимость на вашем компьютере, которая облегчила бы вам dns-инъекцию или просто установила регистратор ключей на ваш компьютер. ..

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .