O site não é seguro

Estou acessando o Pandora via SSL e observe alguns ícones pelo URL. Primeiro é o ponto de exclamação em um triângulo, indicando que a página não é totalmente segura:

Não seguro

Ao lado dele é um escudo? Este diz que o conteúdo que não é seguro está bloqueado.

É seguro

Essas declarações, pelo menos para mim, parecem opostas. Alguém pode me explicar isso? Minha conexão está segura ou não?

Acessado via Firefox 30.0 no Windows 7. Eu também tenho o HTTPS Everywhere instalado.

firefox ssl

— David Starkey
fonte

Respostas:

Isso é chamado de página "conteúdo misto".

Se a página HTTPS incluir conteúdo recuperado por meio de HTTP comum, em texto não criptografado, a conexão será criptografada apenas parcialmente: o conteúdo não criptografado poderá ser acessado pelos farejadores e poderá ser modificado pelos invasores intermediários e, portanto, a conexão não será mais protegida. .

https://developer.mozilla.org/en-US/docs/Security/MixedContent

As declarações não são contraditórias, mas complementares; e um pouco confuso, talvez. A primeira diz que a página em si não é totalmente segura porque contém elementos não criptografados (todos os navegadores da Web o notificarão disso), enquanto a segunda observa que esses elementos foram bloqueados automaticamente pelo Firefox.

Se o Firefox não bloquear os elementos não criptografados, então a página não seria segura.

(O HTTPS Everywhere não garante uma conexão segura. Ele apenas tenta forçar o HTTPS quando estiver disponível; caso contrário, não há nada que um usuário / navegador possa fazer sobre isso, mas bloqueie o conteúdo não seguro.)

— redburn
fonte

Então a conexão é segura?

— 9189 David Starkey

A conexão principal do @DavidStarkey ao site é segura. Conexões inseguras com recursos externos estão bloqueadas. Você pode usar o site com segurança.

— 18714 gronostaj

Uma observação que eu adicionaria aqui é um dos motivos pelos quais isso é ruim e é sinalizado. Suponha que você tenha feito login no pandora.com e haja um cookie de sessão enviado para .pandora.com que abranja a sua sessão de login. Se isso também for enviado durante as sessões HTTP, sua sessão estará clara. Você foi assumido. Sim, o servidor pode dizer "envie apenas este cookie para HTTPS", mas você teria que ser um nerd e acompanhar as respostas do servidor para descobrir isso. Portanto, para não-geeks, isso apenas sinalizará isso, embora não diga que eles fazem um bom trabalho dizendo por que isso é ruim.

— Rich Homolka

@RichHomolka Seria um problema carregar imagens de pandorastatic.com (ou static.pandora.com sem cookies relevantes)?

— precisa saber é o seguinte

@ user20574 depende. Em geral, provavelmente não. Os cookies seriam bloqueados no domínio. Mas existem outras maneiras de vazar informações entre domínios (caso contrário, clique duas vezes no Google / não valeria muito). Novamente, depende de como eles codificaram a página.

— Rich Homolka

Uma página da Web típica será carregada em vários fluxos diferentes. Alguns dos fluxos, como imagens, podem ser carregados usando HTTPS, mas alguns podem ser carregados por HTTP.

O texto está apenas dizendo que aqueles carregados com HTTP serão bloqueados. Se você olhar a fonte da página, provavelmente verá que parte do conteúdo é referenciado como HTTP.

— snowdude
fonte

Quando você visita um site por HTTP, sua conexão fica vulnerável a ataques de interceptação e ataques do tipo man-in-the-middle (MiTM). Sites que não transmitem informações sigilosas (informações pessoais identificáveis, números de previdência social, cartão de crédito etc.). Quando você visita uma página totalmente veiculada em HTTPS (como PayPal e instituições financeiras), sua conexão é autenticada e criptografada. No entanto, quando um site hospeda conteúdo HTTP e também conteúdo HTTPS, geralmente é chamado de página / site de conteúdo misto. A maioria dos navegadores, como o Firefox, bloqueará automaticamente o conteúdo que não é seguro. A maioria das páginas ainda será exibida corretamente e você ainda poderá navegar na parte segura do site.

Então você está seguro ou não? Como nunca estamos totalmente seguros ao navegar na Internet; Eu acho que é seguro dizer que a sua sessão é "segura" ou tão segura quanto possível para o usuário.

Espero ter respondido sua pergunta.

— injetor
fonte