web-dev-qa-db-ja.com

ウェブサイトは安全ではありません

SSL経由でPandoraにアクセスしていますが、URLの横にいくつかのアイコンがあります。 1つ目は三角形の感嘆符で、ページが完全に安全ではないことを示しています。

Not Secure

その隣に盾がありますか?これは、安全でないコンテンツがブロックされていることを示しています。

Is Secure

これらの声明は、少なくとも私には反対のようです。誰かが私にこれを説明できますか?私の接続は安全ですか?

Windows7のFirefox30.0経由でアクセスします。 HTTPS Everywhere もインストールしています。

17
David Starkey

これは「混合コンテンツ」ページと呼ばれます。

HTTPSページに通常のクリアテキストHTTPを介して取得されたコンテンツが含まれている場合、接続は部分的にのみ暗号化されます。暗号化されていないコンテンツはスニファがアクセスでき、man-in-the-middle攻撃者が変更できるため、接続は保護されなくなります。 。

https://developer.mozilla.org/en-US/docs/Security/MixedContent

これらの記述は矛盾していませんが、補完的です。おそらく少し混乱します。 1つ目は、暗号化されていない要素が含まれているため、ページ自体が完全に安全ではないことを示しています(すべてのWebブラウザーがこれを通知します)が、2つ目は、これらの要素がFirefoxによって自動的にブロックされていることを示しています。

Firefoxが暗号化されていない要素をブロックしない場合、厳密に言えば、ページは安全ではありません。

(HTTPS Everywhereは、安全な接続を保証しません。HTTPSが利用可能な場合にのみ強制的に試みます。利用できない場合、ユーザー/ブラウザーはそれについて何もできませんが、安全でないコンテンツをブロックします。)

16
redburn

典型的なWebページは、さまざまなストリームに読み込まれます。画像などの一部のストリームはHTTPSを使用して読み込まれる場合がありますが、一部はHTTPによって読み込まれる場合があります。

テキストは、HTTPがロードされたものがブロックされると言っているだけです。ページのソースを見ると、コンテンツの一部がHTTPとして参照されていることがわかります。

0
snowdude

HTTP経由でWebサイトにアクセスすると、接続は盗聴やman-in-the-middle(MiTM)攻撃に対して脆弱になります。機密情報(個人を特定できる情報、社会保障番号、クレジットカードなど)をやり取りしないサイト。 HTTPS経由で完全に提供されるページ(Paypalや金融機関など)にアクセスすると、接続が認証および暗号化されます。ただし、WebサイトがHTTPコンテンツとHTTPS経由で提供されるコンテンツをホストする場合、一般に混合コンテンツページ/サイトと呼ばれます。 Firefoxなどのほとんどのブラウザは、安全でないコンテンツを自動的にブロックします。ほとんどのページは引き続き正しく表示され、サイトの安全な部分を閲覧することができます。

それで、あなたは安全ですか、それとも安全ではありませんか?インターネットを閲覧する際に完全に安全になることは決してありません。セッションは「安全」である、またはユーザー側から取得するのと同じくらい安全であると言っても差し支えないと思います。

私はあなたの質問に答えたと思います。

0
injector