Я получаю доступ к Pandora через SSL и замечаю несколько значков по URL. Первый - восклицательный знак в треугольнике, указывающий, что страница не полностью защищена:
Рядом с ним есть щит? Этот говорит, что контент, который не является безопасным, заблокирован.
Эти заявления, по крайней мере для меня, кажутся противоположными. Может кто-то объяснить это мне? Мое соединение безопасно или нет?
Доступ через Firefox 30.0 в Windows 7. У меня также установлен HTTPS Везде .
Это называется страницей со смешанным контентом.
Если страница HTTPS содержит содержимое, полученное по обычному текстовому протоколу HTTP, то соединение шифруется только частично: незашифрованный контент доступен анализаторам и может быть изменен злоумышленниками, поэтому соединение больше не защищено ,
https://developer.mozilla.org/en-US/docs/Security/MixedContent
Заявления не противоречат друг другу, а дополняют друг друга; и немного сбивает с толку, возможно. Первый говорит, что сама страница не является полностью защищенной, поскольку она содержит незашифрованные элементы (все веб-браузеры будут уведомлять вас об этом), тогда как вторая отмечает, что эти элементы были автоматически заблокированы Firefox.
Если Firefox не заблокирует незашифрованные элементы, то, строго говоря, страница не будет безопасной.
(HTTPS Everywhere не гарантирует безопасного соединения. Он будет пытаться форсировать HTTPS только тогда, когда он доступен; если это не так, пользователь / браузер ничего не может с этим поделать, кроме как заблокировать незащищенный контент.)
Типичная веб-страница будет загружена во множество разных потоков. Некоторые потоки, такие как изображения, могут быть загружены с использованием HTTPS, но некоторые могут быть загружены по HTTP.
Текст просто говорит, что те, кто загружен с HTTP, будут заблокированы. Если вы посмотрите на источник для страницы, вы, вероятно, увидите, что часть содержимого упоминается как HTTP.
Когда вы посещаете веб-сайт по протоколу HTTP, ваше соединение уязвимо для прослушивания и атак типа «человек посередине» (MiTM). Сайты, которые не передают конфиденциальную информацию туда-сюда (личная информация, номера социального страхования, кредитные карты и т.д.). Когда вы посещаете страницу, которая полностью обслуживается по протоколу HTTPS (например, PayPal и финансовые учреждения), ваше соединение аутентифицируется и шифруется. Однако, когда на веб-сайте размещается HTTP-контент, а также контент, обслуживаемый по HTTPS, его обычно называют страницей / сайтом со смешанным контентом. Большинство браузеров, таких как Firefox, автоматически блокируют небезопасный контент. Большинство страниц по-прежнему будут отображаться правильно, и вы по-прежнему сможете просматривать защищенную часть сайта.
Так вы в безопасности или не в безопасности? Поскольку мы никогда не полностью безопасны при просмотре интернета; Я думаю, что можно с уверенностью сказать, что ваша сессия "безопасна" или настолько безопасна, насколько это возможно для конечного пользователя.
Я надеюсь, что ответил на ваш вопрос.
