Est-ce vraiment un problème de sécurité d'avoir des actifs non sécurisés sur une page SSL?

11

Je crois comprendre que ce n'est qu'un exemple de prudence excessive, mais si mon formulaire de paiement contient un actif non sécurisé, cela ne met pas en danger les numéros de carte de crédit de quiconque d'être pris par un homme du milieu.

Je le demande parce que de temps en temps, peut-être à cause du contenu mis en cache ou autre, quelqu'un écrit en disant qu'il voit cette "erreur" (même s'il n'y a pas de ressources non sécurisées sur ma page), mais il veut une explication.

Alors oui, je peux tout dire sur le chiffrement et les certificats et la confiance et les hommes du milieu. Mais que dois-je leur dire à ce sujet. Comment puis-je les convaincre que le site est sûr à 100% (et si ce n'est pas le cas, faites-moi savoir que je me trompe!)

imbécile
la source
quelle est l'URL de votre page SSL?

Réponses:

12

Une vulnérabilité de type "scripts mixtes" survient lorsqu'une page servie via HTTPS charge un script, CSS ou une ressource de plug-in via HTTP. Un attaquant intermédiaire (comme quelqu'un sur le même réseau sans fil) peut généralement intercepter la charge de ressources HTTP et accéder pleinement au site Web qui charge la ressource. C'est souvent aussi mauvais que si la page Web n'avait pas du tout utilisé HTTPS.

http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html

Les chercheurs en sécurité et de nombreux développeurs Web comprennent et articulent bien la menace. Il y a 3 étapes faciles pour attaquer l'utilisateur à travers une vulnérabilité de contenu mixte…

1) Mettre en place une attaque Man-in-the-Middle. Cela se fait le plus facilement sur les réseaux publics tels que ceux des cafés ou des aéroports.

2) Utilisez une vulnérabilité de contenu mixte pour injecter un fichier javascript malveillant. Le code malveillant s'exécutera sur un site Web HTTPS vers lequel l'utilisateur navigue. Le point clé est que le site HTTPS présente une vulnérabilité de contenu mixte, ce qui signifie qu'il exécute le contenu téléchargé via HTTP. C'est là que l'attaque Man-in-the-Middle et la vulnérabilité de contenu mixte se combinent dans un scénario dangereux.

«Si un attaquant est en mesure de falsifier Javascript ou des fichiers de feuilles de style, il peut également falsifier les autres contenus de votre page (par exemple en modifiant le DOM). C'est donc tout ou rien. Soit tous vos éléments sont servis en utilisant SSL, alors vous êtes sécurisé. Ou vous chargez des fichiers Javascript ou des feuilles de style à partir d'une simple connexion HTTP, alors vous n'êtes plus sûr. »- moi

3) Volez l'identité de l'utilisateur (ou faites d'autres mauvaises choses).

http://ie.microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1

Question connexe: /programming/3778819/browser-mixed-content-warning-whats-the-point

RedGrittyBrick
la source