it-swarm-eu.dev

Cosa significa questo avviso Https - "non completamente sicuro"?

Sono andato ad accedere a un sito Web oggi usando Google Chrome e mi è stato presentato il seguente errore:

enter image description here

La tua connessione a questo sito non è completamente sicura

Gli aggressori potrebbero essere in grado di vedere le immagini che stai guardando su questo sito e ingannarti modificandole

Quando ho cliccato sul link Dettagli Dice quanto segue

Il sito include risorse HTTP

Non ho mai visto questo avviso prima.

Cosa significa questo avviso in termini di laici e dovrei accedere al sito Web con il mio nome utente e password?

Extra:

Aprendo la stessa pagina in Microsoft Edge afferma che il sito Web è sicuro

52
user1

In breve, sta dicendo che mentre il nucleo della pagina utilizza https (sicuro) per ottenere tali informazioni sul computer, quella pagina (sicura) fa riferimento a elementi non sicuri (come immagini e possibilmente script).

Gli aggressori non possono cambiare direttamente la pagina originale, ma possono cambiare gli elementi non sicuri. Se quelle sono immagini, possono cambiare l'immagine. Se quelli sono script, possono cambiare anche quelli. In questo modo, gli aggressori potrebbero cambiare ciò che vedi, anche se la pagina principale era "sicura".

Come sottolinea Michael Kjörling nei commenti, questo espone anche alcune delle tue informazioni in queste richieste - potenzialmente cookie (se è lo stesso sito/corrisponde ai siti dei cookie/lo sviluppatore non ha specificato solo la sicurezza), referrer, ecc. perderanno alcune informazioni su ciò che stai facendo nel migliore dei casi e nel peggiore dei casi potrebbero consentire determinati attacchi.

Questa è una cattiva pratica da parte dello sviluppatore web: tutti gli elementi dovrebbero usare un trasporto sicuro.

È possibile (potenzialmente) migliorare la propria situazione utilizzando un plug-in del browser che aggiorna automaticamente tutte le richieste da http a https.

61
crovers

L'avvertimento indica che alcuni elementi passivi della pagina (elementi passivi sono elementi come immagini, video, audio, ecc.) Sono stati caricati su una connessione non sicura. Nessun contenuto attivo, ovvero contenuto che potrebbe accedere al tuo nome utente o password (principalmente script, ma anche iframe), è stato caricato su una connessione non sicura, quindi inserire la password su quella pagina è sicuro come se il messaggio di avviso non fosse presente .

Ci sono due ragioni per cui i browser ti avvisano del contenuto misto passivo. L'ovvio è che un attaccante potrebbe sostituire le immagini insicure con qualcos'altro. Il rischio più sottile è che se un utente malintenzionato può vedere quali immagini vengono caricate sulla pagina, potrebbero essere in grado di correlarle con le pagine del sito che caricano tali immagini e utilizzarle per determinare quale pagina del sito si sta visualizzando . Nel tuo caso, non importa, ma per alcuni siti HTTPS viene utilizzato in parte per impedire a un intercettatore di determinare quale parte di un sito stai visualizzando.

Se la pagina è stata caricata su HTTPS e ci sono contenuti attivi misti, il che significa che non sarebbe sicuro inserire la password, il browser bloccherà automaticamente lo script, quindi non è un rischio. Se decidi di volere lo script, questo evidenzia in modo molto evidente il sito come insicuro.

Prima di caricare il contenuto non sicuro:

Chrome mixed active content warning

Dopo aver fatto clic su "Carica script non sicuri":

Chrome with a Not Secure warning

A condizione che l'URL inizi https:// e non ci sono avvisi di sicurezza importanti, è sicuro inserire la password.

23
JackW

Significa che la pagina web non mostra tutto il suo contenuto sul protocollo https. Ha alcune parti usando http. Il contenuto misto non è buono e questo genera l'avviso che stai vedendo sui browser perché parte del contenuto può essere visualizzato in chiaro.

Forse alcune immagini esterne caricate come <img src="http://somewhere.net"> o alcuni javascript, css o altro.

Microsoft Edge è troppo fiducioso credo. :)

6
OscarAkaElvis

Se non vedi il lucchetto, puoi controllare il motivo su:

Why No Padlock?

Questo servizio consente parametri di query e funziona anche con siti Web di e-commerce come ShopSite, Magento, WooCommerce.

Questo mi aiuta molto, soprattutto durante la diagnosi di un sito Web.

3
simhumileco

Il sito sta caricando contenuti misti, alcuni contenuti come immagini e CSS verranno caricati su un canale non sicuro mentre il contenuto del sito principale viene pubblicato su HTTPS. Questo è spesso il caso in cui lo stile/le immagini vengono estratti dai CDN.

In teoria, gli elementi insicuri potrebbero essere l'uomo nel medio e modificato a tua insaputa per servire contenuti dannosi.

Chrome ti avvisa di questo tipo di problemi più di altri browser ed è bene essere cauti. Se hai una storia di fiducia in questo sito ed è affidabile, probabilmente è sicuro continuare. Se non l'hai mai visto prima per un sito di cui ti fidi, potresti voler avvisare gli sviluppatori di cosa è successo.

Ricorda che questo avrebbe bisogno di un utente malintenzionato attivo per monitorare la tua connessione per poter sfruttare questa vulnerabilità.

3
iainpb

Ciò significa che sebbene i tuoi dati e (la maggior parte) dei contenuti del sito siano stati inviati su un tunnel SSL, il sito ha caricato immagini su un tunnel non crittografato. Questo non è un grosso problema nella maggior parte dei casi, sebbene sia uno che lo sviluppatore dovrebbe sicuramente risolvere.

Tuttavia - "Dovrei accedere ..." - Nella maggior parte dei casi (e nei tuoi) è sicuro accedere. I tuoi dati verranno comunque inviati attraverso il tunnel crittografato.

Quello che devi capire qui è - alcuni risorse (come immagini o script) sono stati caricati su HTTP, e questo è il problema:

| HTTPS | ------> | La maggior parte della pagina | ---> | Non può essere modificata dall'attaccante |

| HTTP | -------> | Alcune risorse | ---> | Può essere modificato dall'autore dell'attacco |

3
thel3l

Solo per espandere sul lato Internet Explorer/Edge:

  • Il sito non sembra essere insicuro a colpo d'occhio, e il contenuto insicuro non sembra essere evidenziato
  • Stampa un errore di sicurezza sulla console ("La sicurezza HTTPS è compromessa da <url>")
  • Puoi configurarli per rifiutare sempre i contenuti misti
  • Misto attivo il contenuto è rifiutato del tutto - nessun avviso "sito Web non sicuro", il contenuto attivo non sicuro semplicemente non viene eseguito.

Quindi IE è pienamente consapevole delle implicazioni, ma molto probabilmente le considera non critiche: le informazioni non sono trapelate oltre il confine e le immagini non sono contenuti attivi (anche se potrebbe esserci ancora un vettore di attacco, come con la vecchia vulnerabilità di WMF). Ciò significa ancora che è possibile ricevere dati che non sono affidabili (o crittografati) - il ragionamento è probabilmente in linea con "se fosse importante, sarebbe su HTTP; il sito sta probabilmente solo tentando di salvare la CPU sul contenuto statico ".

Può ancora essere usato per exploit? Sicuro. Ad esempio, se i pulsanti "sì" e "no" sono immagini trasportate su HTTP, un utente malintenzionato (MITM) potrebbe commutarle, in modo da confermare una finestra di dialogo che si desidera rifiutare. Ciò potrebbe essere particolarmente problematico se il sito Web consente URL che richiedono qualcosa del tipo "Vuoi inviare tutti i tuoi soldi a Mr. Hacker?" Ma è solo un problema se il contenuto stesso è importante: confidenziale, critico per la sicurezza e simili. E, naturalmente, il browser non ha modo di sapere se una determinata risorsa è importante o meno: solo lo sviluppatore fa (e le persone commettono errori).

Potrebbe sembrare che l'emissione dell'avviso sia una buona misura di sicurezza, ma non è necessariamente così. Se vedi lo stesso avviso su metà delle pagine che visiti, perderà del tutto l'effetto - le persone impareranno semplicemente a ignorarlo (proprio come la prima volta IE ti ha chiesto se vuoi consentire l'invio di contenuti non sicuri, hai appena selezionato "Non chiedermelo più" e lo hai permesso, senza nemmeno accorgermene - è la prima cosa IE ti chiede quando provi a pubblicare i dati del modulo di qualsiasi tipo su HTTP). Quindi stai davvero scegliendo tra due cattivi, come di solito accade con qualsiasi progetto non banale - in questo caso, un falso negativo contro un falso positivo.

2
Luaan

Penso che valga la pena sottolineare che Chrome ti darà anche questo messaggio se nella tua pagina è presente un tag form con un action non sicuro. Chrome mi ha appena visualizzato questo messaggio:

La tua connessione a questo sito non è completamente sicura

Gli aggressori potrebbero essere in grado di vedere le immagini che stai guardando su questo sito e ingannarti modificandole.

Questo può indirizzarti completamente nella direzione sbagliata se il problema è in realtà un form con un non sicuro action.

Quindi, questo è buono:

<form action="https://www.example.com/whatever.php">

e questo è male:

<form action="http://www.example.com/whatever.php">

Non hai ancora richiesto alcun contenuto da http://www.example.com/whatever.php, ma se il tuo utente invia il modulo, non sarà sicuro, quindi Avviso di Chrome.

1
Mike Willis

"Non completamente sicuro" è anche il modo in cui Chrome descrive siti Web che utilizzano algoritmi di crittografia che non sono più considerati del tutto sicuri, ma sono troppo diffusi per essere disattivati ​​del tutto. Attualmente, l'unico algoritmo di questo tipo è - SHA-1 , e hanno in programma di spegnerlo questo mese (con il rilascio della versione 56), ma potrebbe tornare in futuro.

1
zwol