Website ist sicher nicht sicher

Ich greife über SSL auf Pandora zu und bemerke einige Symbole an der URL. Das Ausrufezeichen in einem Dreieck gibt an, dass die Seite nicht vollständig sicher ist:

Nicht sicher

Daneben ist ein Schild? Dieser besagt, dass Inhalte, die nicht sicher sind, blockiert werden.

Ist sicher

Zumindest für mich scheinen diese Aussagen gegensätzlich zu sein. Kann mir das jemand erklären? Ist meine Verbindung sicher oder nicht?

Zugriff über Firefox 30.0 unter Windows 7. Ich habe auch HTTPS Everywhere installiert.

firefox ssl

— David Starkey
quelle

Antworten:

Dies wird als "gemischter Inhalt" bezeichnet.

Wenn die HTTPS-Seite Inhalte enthält, die über normales Klartext-HTTP abgerufen werden, ist die Verbindung nur teilweise verschlüsselt: Der unverschlüsselte Inhalt ist für Sniffer zugänglich und kann von Man-in-the-Middle-Angreifern geändert werden, sodass die Verbindung nicht mehr gesichert ist .

https://developer.mozilla.org/en-US/docs/Security/MixedContent

Die Aussagen sind nicht widersprüchlich, sondern ergänzen sich; und vielleicht ein bisschen verwirrend. Die erste besagt, dass die Seite selbst nicht vollständig sicher ist, da sie unverschlüsselte Elemente enthält (alle Webbrowser benachrichtigen Sie darüber), während die zweite besagt, dass diese Elemente von Firefox automatisch blockiert wurden.

Wenn Firefox die unverschlüsselten Elemente nicht blockieren würde, wäre die Seite streng genommen nicht sicher.

(HTTPS Everywhere garantiert keine sichere Verbindung. Es wird nur versucht, HTTPS zu erzwingen, wenn es verfügbar ist. Ist dies nicht der Fall, kann ein Benutzer / Browser nichts dagegen tun, sondern den unsicheren Inhalt blockieren.)

— Redburn
quelle

Ist die Verbindung also sicher?

— David Starkey

Die @ DavidStarkey-Hauptverbindung zur Website ist sicher. Unsichere Verbindungen zu externen Ressourcen werden blockiert. Sie können die Website sicher nutzen.

— Gronostaj

Ein Hinweis, den ich hier hinzufügen möchte, ist einer der Gründe, warum dies schlecht und gekennzeichnet ist. Angenommen, Sie haben sich bei pandora.com angemeldet und es wird ein Sitzungscookie an .pandora.com gesendet, das Ihre Anmeldesitzung umfasst. Wenn dies auch während HTTP-Sitzungen gesendet wird, ist Ihre Sitzung jetzt im Klartext. Du wurdest übernommen. Ja, der Server kann "Nur dieses Cookie für HTTPS senden" sagen, aber Sie müssen ein Geek sein und die Antworten Ihres Servers nachverfolgen, um dies herauszufinden. Für Nicht-Geeks wird dies nur angezeigt, obwohl sie nicht sagen, dass sie gute Arbeit leisten und sagen, warum dies schlecht ist.

— Rich Homolka

@RichHomolka Wäre es ein Problem, Bilder von pandorastatic.com (oder static.pandora.com ohne relevante Cookies) zu laden ?

— user253751

@ user20574 hängt davon ab. Im Allgemeinen wahrscheinlich nicht. Die Cookies wären domaingesperrt. Es gibt aber auch andere Möglichkeiten, Informationen über mehrere Domains zu verbreiten (andernfalls wäre DoubleClick / Google nicht so viel wert). Auch hier kommt es darauf an, wie sie die Seite codiert haben.

— Rich Homolka

Eine typische Webseite wird in vielen verschiedenen Streams geladen. Einige der Streams, wie z. B. Bilder, werden möglicherweise mit HTTPS geladen, andere jedoch möglicherweise über HTTP.

Der Text sagt nur, dass die mit HTTP geladenen gesperrt werden. Wenn Sie sich die Quelle für die Seite ansehen, werden Sie wahrscheinlich feststellen, dass ein Teil des Inhalts als HTTP bezeichnet wird.

— Schneemann
quelle

Wenn Sie eine Website über HTTP besuchen, ist Ihre Verbindung anfällig für Abhör- und Man-in-the-Middle-Angriffe (MiTM). Websites, die keine vertraulichen Informationen weitergeben (personenbezogene Daten, Sozialversicherungsnummern, Kreditkarten usw.). Wenn Sie eine Seite besuchen, die vollständig über HTTPS bereitgestellt wird (z. B. PayPal und Finanzinstitute), wird Ihre Verbindung authentifiziert und verschlüsselt. Wenn eine Website sowohl HTTP-Inhalte als auch über HTTPS bereitgestellte Inhalte hostet, wird sie im Allgemeinen als Seite / Site mit gemischtem Inhalt bezeichnet. Die meisten Browser wie Firefox blockieren automatisch den Inhalt, der nicht sicher ist. Die meisten Seiten werden weiterhin korrekt angezeigt und Sie können weiterhin den sicheren Teil der Site durchsuchen.

Bist du also sicher oder nicht sicher? Da wir beim Surfen im Internet niemals völlig sicher sind; Ich denke, es ist sicher zu sagen, dass Ihre Sitzung "sicher" oder so sicher ist, wie es vom Ende des Benutzers wird.

Ich hoffe ich habe deine Frage beantwortet.

— Injektor
quelle