ブラウザがデフォルトで混合パッシブコンテンツをブロックする必要がある理由はありますか?
ほとんどのブラウザは、HTTPSページでHTTPを介してロードされている「アクティブな」コンテンツをブロックします。これには、MITMで変更してページ全体のセキュリティを危険にさらす可能性のあるjavascriptなどが含まれます。
ただし、「パッシブ」コンテンツ(つまり画像)はデフォルトではブロックされません。私はFirefoxの機能リクエストについて話し合っていました here と思いましたが、混合パッシブコンテンツに関しては、セキュリティについて本当に確信が持てないことに気付きました。
HTTPSページでHTTPを介してパッシブコンテンツを提供する場合、どのようなセキュリティ上の懸念がありますか?
混合パッシブコンテンツ。混合表示コンテンツと呼ばれることもあります。たとえば、画像、オーディオ、ビデオファイル、またはDOMを変更できないその他のコンテンツです。そのため、名前に「パッシブ」を使用していることをご存知ですか?暗号化されていないHTTPおよび暗号化されたHTTPSを介した要求ドキュメントは、これらのHTTPで提供されるコンテンツを不適切または誤解を招く情報に置き換える可能性のある攻撃を受けやすいです。たとえば、ユーザーが何らかのアクションを実行することが期待されている、または中間者(MiTM)に置き換えられたコンテンツによって誤って誘導されているとユーザーを誤解させる例を考えてみてください。ここでの違いは、攻撃者がページの残りの部分に影響を与えることはできず、暗号化されていないHTTPプロトコルを介して読み込まれたコンテンツのみに影響を与えることです。
さらに、攻撃者は、ユーザーに提供されるHTTPロードされたコンテンツを介してユーザーの閲覧アクティビティに関する情報を推測することにより、ユーザーを追跡する可能性があります。これらのコンテンツは特定のページにのみ表示されるように制限されている可能性があり、それらの要求は、ユーザーがどのページにアクセスしているかを攻撃者に知らせる可能性があります。
攻撃者は、セキュリティで保護されていないプロトコルを介して送信されたHTTPヘッダー情報を傍受したり、要求を別のサーバーにリダイレクトしたり、HTTP応答の情報を変更したりできます(もちろんヘッダーやCookieも含まれます)。リクエスト情報には、HTTPで提供されるコンテンツが提供されるドメインに関連付けられたユーザーエージェント文字列とCookieが含まれます。攻撃者は、ユーザーアクティビティの追跡を容易にするためにこの情報を自由に変更したり、誤った情報でユーザーを誤解させたりする可能性があります。
これらのコンテンツが、それらを要求するメインページと同じドメインから提供される場合、攻撃者が;secureタグ付きのリンクされたHTTPコンテンツのリクエストヘッダー。ユーザーエージェント(ブラウザ)に対して、暗号化された/保護されたHTTPSチャネルが追加のリンクされたコンテンツリクエストを作成するために使用される場合に、そのようなタグ付きCookieのみを含めるように指示します。
別の可能なシナリオは、MITMが画像をユーザーのブラウザーのRCE(リモートコード実行)の脆弱性を悪用する画像に置き換えることです。
そのような脆弱性の例を次に示します。 https://nvd.nist.gov/vuln/detail/CVE-2017-2416 -基本的に、実行可能コードを含む細工されたイメージを提供し、そのコードを実行させることができます古いバージョンのmacOSおよびiOS。
(上記は my answer の「要点」ですが、別の、準関連の質問です。)