SSL sayfasında güvenli olmayan varlıkların olması gerçekten bir güvenlik sorunu mu?

11

Anladığım kadarıyla, bunun sadece aşırı temkinli olmanın bir örneği olduğu, ancak ödeme formumda güvensiz bir varlık içeriyorsa, bu, kimsenin kredi kartı numaralarının ortadaki bir adam tarafından yakalanmasını tehlikeye atmaz.

Bunu soruyorum çünkü her seferinde önbelleğe alınmış içerik ya da ne olursa olsun, birisi bu "hatayı" gördüğümü söyleyerek yazıyor (sayfamda güvensiz varlıklar olmasa bile), ama açıklama istiyorlar.

Evet, şifreleme ve sertifikalar ile güven ve ortadaki adamlar hakkında her şeyi anlatabilirim. Ama onlara bu konuda ne söyleyeceğim. Onları sitenin% 100 güvenli olduğuna nasıl ikna edebilirim (ve eğer yanlış olduğumu bana bildirmezse!)

https 
ahmak
kaynak
SSL sayfanızın URL'si nedir?

Yanıtlar:

12

HTTPS üzerinden sunulan bir sayfa HTTP üzerinden bir komut dosyası, CSS veya eklenti kaynağı yüklediğinde "karma komut dosyası oluşturma" güvenlik açığı ortaya çıkar. Ortadaki bir adam (aynı kablosuz ağdaki biri gibi) tipik olarak HTTP kaynak yükünü kesebilir ve kaynağı yükleyen web sitesine tam erişim sağlayabilir. Web sayfası hiç HTTPS kullanmamış gibi kötüdür.

http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html

Güvenlik araştırmacıları ve birçok web geliştiricisi tehdidi iyi anlıyor ve dile getiriyor. Karışık içerik güvenlik açığıyla kullanıcıya saldırmak için 3 kolay adım vardır ...

1) Ortadaki Adam saldırısı yapın. Bunlar en kolay kafeler veya havaalanları gibi halka açık ağlarda yapılır.

2) Kötü amaçlı bir javascript dosyası enjekte etmek için karma içerik güvenlik açığı kullanın. Kötü amaçlı kod, kullanıcının tarayıcı olarak kullandığı bir HTTPS web sitesinde çalışır. Kilit nokta, HTTPS sitesinin üzerinde karışık bir içerik güvenlik açığına sahip olmasıdır, yani HTTP üzerinden indirilen içeriği yürütür. Ortadaki Adam saldırısı ve Karışık İçerik güvenlik açığı tehlikeli bir senaryoda birleşir.

“Bazı saldırganlar Javascript veya stil sayfası dosyalarını kurcalayabilirse, sayfanızdaki diğer içeriğe de etkili bir şekilde müdahale edebilir (örn. DOM'u değiştirerek). Yani ya hep ya hiç. Tüm öğeleriniz SSL kullanılarak sunulur, güvende olursunuz. Veya düz bir HTTP bağlantısından bazı Javascript veya stil sayfası dosyaları yüklerseniz, artık güvende değilsiniz. ”- me

3) Kullanıcının kimliğini çalın (veya başka kötü şeyler yapın).

http://ie.microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1

İlgili soru: /programming/3778819/browser-mixed-content-warning-whats-the-point

RedGrittyBrick
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.