web-dev-qa-db-ja.com

HTTPリンクのあるページに安全でないブラウザの警告が表示されたのはなぜですか?

ChromeとFirefoxの両方で、HTTPS経由で提供される特定のページに安全でないコンテンツの警告が表示されることに気付きました。これは、ページにアンカーがあり、hrefプロパティがプレーンHTTPを指しているためです地点。

なぜ問題なのですか?そのような状況では、どのようなエクスプロイトを実行できますか?

tlsweb-browserhtmlmixed-content
4
Joon

混合コンテンツの警告は、HTTPSページがHTTPを介したリソースのロードを要求すると発生します。安全でないリソースはアクティブな攻撃者による変更やパッシブな攻撃者による盗聴に対して脆弱であり、HTTPSページのセキュリティに対するユーザーの期待に違反するため、これは危険です。

アンカー<a>リンクは、リソースをフェッチしません1なので、リソースが安全に読み込まれない可能性があります。あなたが説明した状況は不可能です。

  • 1 ロード時間を改善するためにブラウザーがページをプリフェッチする場合、ブラウザーがHTTPSページの<a>リンクに基づいてリンクされたHTTPページをプリフェッチすることを選択できる可能性があります。ただし、プリフェッチは純粋にオプションの最適化であるため、賢明な動作は、ブラウザがそのリソースのプリフェッチを省略することであり、技術的に不要な最適化のセキュリティへの影響について警告を出すを行わないことです。
3
apsillers

リンクされたリソースが画像またはスクリプトである場合、多くの場合、主な懸念は攻撃者がそれを読み取ることではなく、リクエストをハイジャックしてリソースの変更されたバージョンを挿入し、ページの外観または動作を変更することです-特に、スクリプトを変更して、ユーザーを別のWebサイトにリダイレクトしたり、ユーザーがページに入力したデータを盗んだりするなど、悪意のある行為を行う可能性があります。

(やや無関係な余談として、私は多くのブラウザがこれらの警告の表示を処理する方法に個人的に同意しません。部分的に暗号化された接続は、まったく暗号化されないよりも改善されますが、一部のブラウザが顕著な警告を表示する方法は、セキュリティで保護されていないHTTPページ。「https://」が表示されているが、これらのページにロックアイコンが表示されていないSafariの方法を使用することをお勧めします)

3
tlng05