Dlaczego moja przeglądarka mówi, że bezpieczna witryna nie jest w pełni bezpieczna?
Przy wszystkich problemach, z jakimi można się spotkać w Internecie, zawsze dobrze jest mieć bezpieczne połączenie. Ale co zrobić, gdy przeglądarka mówi, że bezpieczna witryna nie jest w pełni bezpieczna? Dzisiejszy post z pytaniami i odpowiedziami dla SuperUser jest odpowiedzią na niepokojące pytanie czytelnika.
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, opartego na społecznościach grupowania witryn z pytaniami i odpowiedziami.
Pytanie
Czytnik SuperUser David Starkey chce wiedzieć, dlaczego jego przeglądarka mówi, że bezpieczna witryna nie jest w pełni bezpieczna:
Uzyskiwałem dostęp do Pandory przez SSL i zauważyłem kilka ikon według adresu URL. Pierwszy to wykrzyknik w trójkącie, co oznacza, że strona nie jest w pełni bezpieczna.
Obok jest tarcza. Ten mówi, że treści, które nie są bezpieczne, są blokowane.
Te stwierdzenia, przynajmniej dla mnie, wydają się sprzeczne ze sobą. Czy ktoś może mi to wyjaśnić? Czy moje połączenie jest bezpieczne, czy nie? Dostęp do strony Pandora za pomocą przeglądarki Firefox 30.0 na Windows 7. Mam również zainstalowany HTTPS Everywhere.
Co tu się dzieje? Czy połączenie Davida z witryną Pandora jest bezpieczne, czy nie?
Odpowiedź
SuperUser contributor redburn ma odpowiedź dla nas:
To się nazywa strona "mieszana zawartość". Z Mozilla Developer Network (Mixed Content):
- Jeśli strona HTTPS zawiera treść pobieraną przez zwykły, jawny HTTP, połączenie jest tylko częściowo zaszyfrowane: nieszyfrowane treści są dostępne dla snifferów i mogą być modyfikowane przez pośredników w man-in-the-middle, a zatem połączenie nie jest już zabezpieczone . Gdy strona internetowa wykazuje takie zachowanie, jest to tzw mieszana zawartość strona.
Wypowiedzi nie są sprzeczne, ale uzupełniają się i być może nieco mylące. Pierwsza mówi, że sama strona nie jest w pełni bezpieczna, ponieważ zawiera niezaszyfrowane elementy (wszystkie przeglądarki internetowe powiadomią Cię o tym), podczas gdy druga zauważy, że te elementy zostały automatycznie zablokowane przez Firefoksa.
Jeśli Firefox nie blokował nieszyfrowanych elementów, to mówiąc ściśle, strona nie byłaby bezpieczna.
HTTPS Everywhere nie gwarantuje bezpiecznego połączenia. Będzie próbować wymuszać HTTPS tylko wtedy, gdy będzie dostępny; jeśli tak nie jest, nie ma nic, co mógłby zrobić użytkownik lub przeglądarka poza blokowaniem niezabezpieczonej zawartości.
Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.