Situs web aman tidak aman

Saya mengakses Pandora melalui SSL dan melihat beberapa ikon melalui URL. Pertama adalah tanda seru dalam segitiga, yang menunjukkan halaman tersebut tidak sepenuhnya aman:

Tidak Aman

Di sebelahnya ada perisai? Yang ini mengatakan konten yang tidak aman diblokir.

Aman

Pernyataan-pernyataan ini, setidaknya bagi saya, tampaknya bertentangan. Adakah yang bisa menjelaskan hal ini kepada saya? Apakah koneksi saya aman atau tidak?

Diakses melalui Firefox 30.0 pada Windows 7. Saya juga telah menginstal HTTPS Everywhere .

firefox ssl

— David Starkey
sumber

Jawaban:

Ini disebut halaman "konten campuran".

Jika halaman HTTPS menyertakan konten yang diambil melalui HTTP biasa, teks-jelas, maka koneksi hanya sebagian dienkripsi: konten yang tidak dienkripsi dapat diakses oleh sniffer dan dapat dimodifikasi oleh penyerang man-in-the-middle, dan oleh karena itu koneksi tidak dilindungi lagi .

https://developer.mozilla.org/en-US/docs/Security/MixedContent

Pernyataan tersebut tidak bertentangan, tetapi saling melengkapi; dan mungkin sedikit membingungkan. Yang pertama mengatakan halaman itu sendiri tidak sepenuhnya aman karena mengandung elemen yang tidak terenkripsi (semua browser web akan memberi tahu Anda tentang hal ini), sedangkan yang kedua mencatat bahwa elemen-elemen ini telah secara otomatis diblokir oleh Firefox.

Jika Firefox tidak akan memblokir elemen yang tidak dienkripsi, maka secara tegas halaman tersebut tidak akan aman.

(HTTPS Everywhere tidak menjamin koneksi yang aman. HTTPS hanya akan mencoba untuk memaksa HTTPS saat tersedia; jika tidak, tidak ada yang dapat dilakukan pengguna / browser tentang hal itu selain memblokir konten yang tidak aman.)

— redburn
sumber

Jadi koneksinya aman?

— David Starkey

@DavidStarkey koneksi utama ke situs web aman. Koneksi tidak aman ke sumber daya eksternal diblokir. Anda dapat menggunakan situs web dengan aman.

— gronostaj

Catatan yang akan saya tambahkan di sini adalah salah satu alasan mengapa ini buruk, dan ditandai. Misalkan Anda memiliki login ke pandora.com dan ada cookie sesi yang dikirim ke .pandora.com yang mencakup sesi login Anda. Jika ini juga dikirim selama sesi HTTP, sesi Anda sekarang jelas. Anda telah diambil alih. Ya, server dapat mengatakan "hanya kirim cookie ini untuk HTTPS", tetapi Anda harus menjadi geek dan melacak respons server Anda untuk mengetahuinya. Jadi untuk non-Geeks, itu hanya akan menandai ini, meskipun tidak mengatakan mereka melakukan pekerjaan dengan baik mengatakan mengapa ini buruk.

— Rich Homolka

@RichHomolka Akankah masalah memuat gambar dari pandorastatic.com (atau static.pandora.com tanpa cookie yang relevan)?

— user253751

@ user20574 tergantung. Secara umum, mungkin tidak. Cookie akan dikunci domain. Tetapi ada cara lain untuk membocorkan info di seluruh domain (atau kalau tidak klik dua kali / google tidak akan berarti banyak). Sekali lagi, itu tergantung pada bagaimana mereka mengkodekan halaman.

— Rich Homolka

Halaman web biasa akan dimuat dalam banyak aliran berbeda. Beberapa aliran, seperti gambar, mungkin dimuat menggunakan HTTPS tetapi beberapa mungkin dimuat oleh HTTP.

Teks tersebut hanya mengatakan bahwa mereka yang dimuat dengan HTTP akan diblokir. Jika Anda melihat sumber untuk halaman Anda mungkin akan melihat beberapa konten dirujuk sebagai HTTP.

— Snowdude
sumber

Saat Anda mengunjungi situs web melalui HTTP, koneksi Anda rentan terhadap serangan penyadapan dan man-in-the-middle (MiTM). Situs yang tidak meneruskan informasi sensitif bolak-balik (Informasi Identifikasi Kepribadian, Nomor Jaminan Sosial, kartu kredit, dll). Ketika Anda mengunjungi halaman yang sepenuhnya dilayani melalui HTTPS (seperti PayPal dan lembaga keuangan), koneksi Anda diautentikasi dan dienkripsi. Namun, ketika sebuah situs web meng-host konten HTTP dan juga konten yang disajikan melalui HTTPS, itu biasanya disebut sebagai halaman / situs konten campuran. Sebagian besar browser, seperti Firefox, secara otomatis akan memblokir konten yang tidak aman. Sebagian besar halaman masih akan ditampilkan dengan benar dan Anda masih dapat menelusuri bagian situs yang aman.

Jadi, apakah Anda aman atau tidak aman? Karena kita tidak pernah sepenuhnya aman saat menjelajah internet; Saya pikir aman untuk mengatakan bahwa sesi Anda "aman" atau seaman yang akan didapat dari pengguna.

Saya harap saya menjawab pertanyaan Anda.

— penyuntik
sumber