¿Es realmente un problema de seguridad tener activos no seguros en una página SSL?

11

Tengo entendido que esto es solo un ejemplo de ser demasiado cauteloso, pero si mi formulario de pago contiene un activo no seguro, eso no pone en peligro los números de tarjeta de crédito de nadie al ser atrapado por un hombre en el medio.

Pregunto esto porque de vez en cuando, tal vez por el contenido en caché o algo así, alguien escribe diciendo que están viendo este "error" (aunque no hay activos no seguros en mi página), pero quieren una explicación.

Entonces, sí, puedo decir todo sobre cifrado y certificados y confianza y hombres intermedios. Pero, ¿qué les digo sobre esto? ¿Cómo los convenzo de que el sitio es 100% seguro (y si no es así, hágamelo saber que estoy equivocado)

estúpido
fuente
¿Cuál es la URL de su página SSL?

Respuestas:

12

Una vulnerabilidad de "secuencias de comandos mixtas" se produce cuando una página servida a través de HTTPS carga una secuencia de comandos, CSS o recurso de complemento a través de HTTP. Un atacante man-in-the-middle (como alguien en la misma red inalámbrica) generalmente puede interceptar la carga de recursos HTTP y obtener acceso completo al sitio web que carga el recurso. A menudo es tan malo como si la página web no hubiera utilizado HTTPS en absoluto.

http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html

Los investigadores de seguridad y muchos desarrolladores web entienden y articulan bien la amenaza. Hay 3 pasos sencillos para atacar al usuario a través de una vulnerabilidad de contenido mixto ...

1) Prepara un ataque Man-in-the-Middle. Esto se hace más fácilmente en redes públicas como las de cafeterías o aeropuertos.

2) Use una vulnerabilidad de contenido mixto para inyectar un archivo javascript malicioso. El código malicioso se ejecutará en un sitio web HTTPS al que navega el usuario. El punto clave es que el sitio HTTPS tiene una vulnerabilidad de contenido mixto, lo que significa que ejecuta contenido descargado a través de HTTP. Aquí es donde el ataque Man-in-the-Middle y la vulnerabilidad de contenido mixto se combinan en un escenario peligroso.

“Si algún atacante puede alterar JavaScript o archivos de hoja de estilo, también puede alterar efectivamente el otro contenido de su página (por ejemplo, modificando el DOM). Entonces es todo o nada. O todos sus elementos se sirven mediante SSL, entonces está seguro. O carga algunos archivos Javascript u hojas de estilo desde una conexión HTTP simple, entonces ya no está seguro. ”- yo

3) Robar la identidad del usuario (o hacer otras cosas malas).

http://ie.microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1

Pregunta relacionada: /programming/3778819/browser-mixed-content-warning-whats-the-point

RedGrittyBrick
fuente