Чому мій браузер каже, що безпечний веб-сайт не є повністю безпечним?
З усіма труднощами, з якими можна зіткнутися в Інтернеті, завжди є гарна ідея мати максимально безпечний зв'язок. Але що робити, коли ваш веб-переглядач говорить, що безпечний веб-сайт не є повністю безпечним? Сьогоднішня посада SuperUser Q&A відповідає на запитання читача.
Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно SuperUser - підрозділ Stack Exchange, групування веб-сайтів із запитаннями та відповідями на рівні спільноти..
Питання
Читач SuperUser Девід Старкі хоче знати, чому його веб-переглядач говорить, що безпечний веб-сайт не є повністю безпечним:
Я мав доступ до Pandora через SSL і помітив кілька ікон за URL. По-перше, це знак оклику в трикутнику, що вказує, що сторінка не повністю захищена.
Поруч з ним розташований щит. Це говорить, що вміст, який не є безпечним, блокується.
Ці висловлювання, принаймні мені, здаються суперечать один одному. Чи може хтось пояснити це мені? Чи захищено моє з'єднання? Я зайшов на веб-сайт Pandora за допомогою Firefox 30.0 у Windows 7. У мене також встановлено HTTPS Everywhere.
Що тут відбувається? Чи надійний зв'язок Давида з веб-сайтом Пандори чи ні?
Відповідь
Співробітник SuperUser redburn має відповідь для нас:
Ця сторінка називається сторінкою змішаного вмісту. Від мережі розробників Mozilla (змішаний вміст):
- Якщо сторінка HTTPS містить вміст, отриманий за допомогою звичайного, чистого HTTP, підключення лише частково зашифровано: незашифрований вміст доступний для перехоплення та може бути змінений зловмисниками середнього рівня, тому з'єднання не захищено більше. . Коли веб-сторінка має таку поведінку, вона називається a змішаного змісту стор.
Висловлювання не суперечливі, але доповнюють і, можливо, трохи заплутані. Перша говорить, що сама сторінка не повністю захищена, оскільки містить незашифровані елементи (всі веб-переглядачі сповіщатимуть про це), тоді як другий зазначає, що ці елементи автоматично заблоковано Firefox.
Якщо Firefox не блокує незашифровані елементи, то, строго кажучи, сторінка не буде захищена.
HTTPS Everywhere не гарантує безпечне з'єднання. Він намагатиметься лише змусити HTTPS, коли він доступний; якщо це не так, то користувач або веб-переглядач не можуть нічого робити з цим, не блокуючи незахищений вміст.
Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.