El sitio web no es seguro

17

Estoy accediendo a Pandora a través de SSL y noto algunos iconos junto a la URL. Primero está el signo de exclamación en un triángulo, que indica que la página no es completamente segura:

No es seguro

Al lado hay un escudo? Este dice que el contenido que no es seguro está bloqueado.

Es seguro

Estas declaraciones, al menos para mí, parecen ser opuestos. ¿Alguien puede explicarme esto? ¿Mi conexión es segura o no?

Acceso a través de Firefox 30.0 en Windows 7. También tengo instalado HTTPS Everywhere .

David Starkey
fuente

Respuestas:

16

Esto se llama una página de "contenido mixto".

Si la página HTTPS incluye contenido recuperado a través de HTTP de texto claro normal, entonces la conexión está solo parcialmente encriptada: el contenido no encriptado es accesible para los rastreadores y puede ser modificado por atacantes intermedios, y por lo tanto la conexión ya no está protegida .

https://developer.mozilla.org/en-US/docs/Security/MixedContent

Las declaraciones no son contradictorias, sino complementarias; y un poco confuso quizás. El primero dice que la página en sí no es completamente segura porque contiene elementos sin cifrar (todos los navegadores web lo notificarán), mientras que el segundo señala que Firefox ha bloqueado automáticamente estos elementos.

Si Firefox no bloqueara los elementos sin cifrar, entonces estrictamente hablando, la página no sería segura.

(HTTPS Everywhere no garantiza una conexión segura. Solo intentará forzar HTTPS cuando esté disponible; si no lo está, no hay nada que un usuario / navegador pueda hacer al respecto, sino bloquear el contenido no seguro).

Redburn
fuente
¿Entonces la conexión es segura?
David Starkey
55
La conexión principal de @DavidStarkey al sitio web es segura. Las conexiones inseguras a recursos externos están bloqueadas. Puede usar el sitio web de forma segura.
gronostaj
Una nota que agregaría aquí es una de las razones por las que esto es malo y está marcado. Supongamos que tiene un inicio de sesión en pandora.com y se envía una cookie de sesión a .pandora.com que abarca su sesión de inicio de sesión. Si esto también se envía durante las sesiones HTTP, su sesión ahora está limpia. Te han tomado el control. Sí, el servidor puede decir "solo envíe esta cookie para HTTPS", pero tendría que ser un geek y rastrear las respuestas de su servidor para resolver esto. Entonces, para los no geeks, solo marcará esto, aunque no diga que hacen un buen trabajo diciendo por qué esto es malo.
Rich Homolka
@RichHomolka ¿Sería un problema cargar imágenes desde pandorastatic.com (o static.pandora.com sin cookies relevantes)?
user253751
@ user20574 depende. En general, probablemente no. Las cookies serían de dominio bloqueado. Pero hay otras formas de filtrar información a través de dominios (o de lo contrario, hacer doble clic / google no valdría tanto). De nuevo, depende de cómo codificaron la página.
Rich Homolka
0

Una página web típica se cargará en muchas secuencias diferentes. Algunas de las transmisiones, como las imágenes, pueden cargarse utilizando HTTPS, pero otras pueden cargarse mediante HTTP.

El texto solo dice que aquellos cargados con HTTP serán bloqueados. Si observa la fuente de la página, probablemente verá que parte del contenido está referenciado como HTTP.

Snowdude
fuente
0

Cuando visita un sitio web a través de HTTP, su conexión es vulnerable a escuchas clandestinas y ataques de hombre en el medio (MiTM). Sitios que no transmiten información confidencial de un lado a otro (información de identificación razonable, números de seguro social, tarjeta de crédito, etc.). Cuando visita una página que se sirve completamente a través de HTTPS (como PayPal e instituciones financieras), su conexión se autentica y se cifra. Sin embargo, cuando un sitio web aloja contenido HTTP, así como contenido servido a través de HTTPS, comúnmente se conoce como una página / sitio de contenido mixto. La mayoría de los navegadores, como Firefox, bloquearán automáticamente el contenido que no sea seguro. La mayoría de las páginas se mostrarán correctamente y aún podrá navegar por la parte segura del sitio.

Entonces, ¿estás seguro o no seguro? Como nunca estamos completamente seguros al navegar por internet; Creo que es seguro decir que su sesión es "segura" o tan segura como va a ser desde el final del usuario.

Espero haber respondido tu pregunta.

inyector
fuente