このHttps-「完全に安全ではない」警告はどういう意味ですか？

警告は、ページの特定のpassive要素（パッシブ要素は画像、ビデオ、オーディオなどの要素）が安全でない接続を介して読み込まれたことを意味します。ユーザー名またはパスワード（主にスクリプトだけでなくiframe）にアクセスできるアクティブなコンテンツが安全でない接続を介して読み込まれていないため、そのページにパスワードを入力しても、警告メッセージが表示されなかったかのように安全です。 。

ブラウザがパッシブ混合コンテンツについて警告する理由は2つあります。明らかなのは、攻撃者が安全でない画像を別のものに置き換える可能性があることです。より微妙なリスクは、攻撃者がページに読み込まれている画像を見ることができる場合、それらをそれらの画像を読み込むサイトのページと相関させ、それを使用してサイトのどのページを表示しているかを判断できる可能性があることです。 。あなたの場合、それは問題ではありませんが、一部のサイトではHTTPSが部分的に使用されており、盗聴者がサイトのどの部分を表示しているかを特定できません。

ページがHTTPS経由で読み込まれていて、アクティブコンテンツが混在している場合、つまりパスワードを入力しても安全ではない場合、ブラウザーはスクリプトを自動的にブロックするため、リスクはありません。スクリプトが必要だと判断した場合、そのサイトは非常に目立つように安全でないとマークされます。

安全でないコンテンツをロードする前に：

[安全でないスクリプトを読み込む]をクリックした後：

URLがhttps://で始まり、目立つセキュリティ警告がない場合は、パスワードを入力しても安全です。

これは、Webページのコンテンツのすべてがhttpsプロトコルで表示されていないことを意味します。 httpを使用するいくつかの部分があります。混合コンテンツは適切ではなく、コンテンツの一部がプレーンで表示される可能性があるため、ブラウザーに表示される警告が生成されます。

多分いくつかの外部画像が<img src="http://somewhere.net">またはjavascript、cssなど。

Microsoft Edgeは自信があると思います。 :)

南京錠が表示されない場合は、次の理由を確認できます。

南京錠がない理由

このサービスはクエリパラメータを許可し、ShopSite、Magento、WooCommerceなどのeコマースWebサイトでも動作します。

これは、特にWebサイトを診断するときに非常に役立ちます。

サイトは混合コンテンツをロードしています。画像やCSSなどの一部のコンテンツは安全でないチャネルを介してロードされ、メインサイトのコンテンツはHTTPSを介して提供されます。これは、スタイル/画像がCDNからプルされる場合によく見られます。

理論的には、安全でない要素は、悪意のあるコンテンツを提供するための知識なしに、中間者であり、変更される可能性があります。

Chromeはこれらの種類の問題について他のブラウザよりも警告を発するので、注意が必要です。このサイトを信頼した歴史があり、信頼できる場合は、続行しても安全です。信頼できるサイトでこれを見たことがない場合は、何が起こったのかを開発者に知らせてください。

この脆弱性を悪用するには、アクティブな攻撃者が接続を監視している必要があることに注意してください。

これは、データと（ほとんどの）サイトのコンテンツがSSLトンネルを介して送信されたにもかかわらず、サイトが暗号化されていないトンネルを介して画像をロードしたことを意味します。これはほとんどの場合大きな問題ではありませんが、開発者が確実に修正する必要がある問題です。

ただし、「サインインする必要があります...」-ほとんどの場合（そしてあなたの場合）、サインインしても安全です。データは引き続き暗号化されたトンネルを介して送信されます。

ここで理解する必要があるのは-一部のresources（画像やスクリプトなど）がHTTP経由でロードされたことです。それが問題です。

| HTTPS | ------> |ほとんどのページ| ---> |攻撃者は編集できません|

| HTTP | -------> |一部のリソース| ---> |攻撃者が編集可能|

Internet Explorer/Edge側を拡張するだけです。

• サイトは一見すると安全ではないように見え、安全でないコンテンツも強調表示されていないようです
• セキュリティエラーをコンソールに出力します（「HTTPSセキュリティは<url>によって侵害されています」）
• 混合コンテンツを常に拒否するように設定できます
• 混合アクティブコンテンツは完全に拒否されます-「安全でないWebサイトです」という警告は表示されず、安全でないアクティブなコンテンツは実行されません。

したがって、IEは影響を完全に認識していますが、ほとんどの場合それらを重要ではないと見なしています。情報は境界を越えてリークされておらず、画像はアクティブコンテンツではありません（ただし、古いWMFの脆弱性のような攻撃ベクトル。これは、信頼できない（または暗号化されていない）データが提供される可能性があることを意味します。理由はおそらく「重要な場合、HTTPを介したものであり、サイトはおそらく静的コンテンツのCPUを節約しようとしているだけです。」.

これはまだエクスプロイトに使用できますか？承知しました。たとえば、「はい」ボタンと「いいえ」ボタンがHTTP経由で転送される画像である場合、（MITM）攻撃者がそれらを切り替えて、拒否したいダイアログを確認する可能性があります。 「ハッカーさんにすべてのお金を送りますか？」のようなURLをWebサイトが許可している場合、これは特に問題になる可能性があります。しかし、コンテンツ自体が重要である場合にのみ問題になります-機密、セキュリティが重要など。そしてもちろん、ブラウザは特定のリソースが重要かどうかを知る方法がありません-開発者だけが（そして人々がミスをする）知っています。

警告の発行は適切なセキュリティ対策のように思えるかもしれませんが、必ずしもそうではありません。移動したページの半分に同じ警告が表示された場合、その効果は完全に失われます-人々はそれを無視することを学ぶだけです（最初と同じようにIE安全でないコンテンツの送信を許可したい場合は、「もう聞かないで」にチェックを入れて、許可せずに許可します。これは最初のことですIEフォームデータを投稿しようとすると、あらゆる種類のHTTPを介して行われます。したがって、通常の非営利的な設計の場合と同様に、実際には2つの問題点を選択します。この場合、偽陰性と偽陽性です。

安全ではないformを含むactionタグがページにある場合、Chromeもこのメッセージを表示することを指摘するのは価値があると思います。 Chromeにこのメッセージが表示されました：

このサイトへの接続は完全に安全ではありません

攻撃者は、あなたがこのサイトで見ている画像を見て、それらを変更することによってあなたをだますことができるかもしれません。

問題が実際にはformで安全でないactionである場合、これは完全に間違った方向を示す可能性があります。

だから、これは良いです：

<form action="https://www.example.com/whatever.php">

そしてこれは悪いです：

<form action="http://www.example.com/whatever.php">

http://www.example.com/whatever.phpからのコンテンツはまだリクエストしていませんが（= /// =）まだユーザーがフォームを送信すると、安全ではないため、Chromeで警告が表示されます。

「完全に安全ではない」とは、Chromeが完全に安全であるとは見なされなくなったが、あまりにも広く普及しすぎて完全にオフにすることができない暗号化アルゴリズムを使用するWebサイトを説明する方法でもあります。現在、そのようなアルゴリズムは- SHA-1 、彼らは今月（バージョン56のリリースで）これをオフにする予定ですが、将来再び登場する可能性があります。