Proč je Můj prohlížeč, který říká bezpečný web, není plně bezpečný?
Se všemi problémy, s nimiž se můžete dostat na internet, je vždy dobré mít co nejbezpečnější spojení. Co ale děláte, když váš prohlížeč říká, že bezpečná webová stránka není zcela bezpečná? Dnešní příspěvek SuperUser Q & A má odpověď na znepokojenou otázku čtenáře.
Dnešní zasedání Otázky a odpovědi nás přichází s laskavým svolením SuperUser - podřízené rozdělení Stack Exchange, které je založeno na komunitě prostřednictvím skupin webových stránek.
Otázka
Čtenář SuperUser David Starkey chce vědět, proč jeho prohlížeč říká, že bezpečná webová stránka není zcela bezpečná:
Do služby Pandora jsem přistupoval přes protokol SSL a všiml jsem si pár URL ikon. První je tento vykřičník v trojúhelníku, což znamená, že stránka není zcela bezpečná.
Vedle toho je štít. Ten říká, že obsah, který není bezpečný, je zablokován.
Tato prohlášení, alespoň pro mě, se zdají být navzájem v rozporu. Může mi to někdo vysvětlit? Je moje připojení bezpečná nebo ne? Přístup na webovou stránku společnosti Pandora jsem použil v prohlížeči Firefox 30.0 v systému Windows 7. Mám také nainstalován HTTPS Everywhere.
Co se to tu děje? Je Davidovo připojení k webu Pandora zabezpečené nebo ne?
Odpověď
Příspěvek SuperUser redburn má pro nás odpověď:
Toto se nazývá stránka "smíšeného obsahu". Z Mozilla Developer Network (smíšený obsah):
- Pokud stránka HTTPS obsahuje obsah načtený prostřednictvím běžného HTTP s jasným textem, pak je spojení pouze částečně šifrováno: nešifrovaný obsah je přístupný snifferům a může být změněn útočníky typu "man-in-the-middle", a proto připojení již není zajištěno . Když webová stránka vykazuje toto chování, nazývá se a smíšený obsah stránka.
Výroky nejsou protichůdné, ale doplňkové a trochu zmatené. První říká, že samotná stránka není zcela bezpečná, protože obsahuje nezašifrované prvky (všechny webové prohlížeče vás o tom budou informovat), zatímco druhá upozorňuje, že tyto prvky byly automaticky blokovány prohlížečem Firefox.
Pokud Firefox neblokoval nezašifrované prvky, pak by to nebylo jisté.
Služba HTTPS Everywhere nezaručuje bezpečné připojení. Snaží se vynutit HTTPS pouze kdykoli je k dispozici; pokud tomu tak není, není nic, co by uživatel nebo prohlížeč mohl dělat o tom mimo blokování nezabezpečeného obsahu.
Musíte něco přidat k vysvětlení? Vyjměte v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.