Przy wszystkich problemach, jakie można napotkać w Internecie, zawsze dobrze jest mieć jak najbezpieczniejsze połączenie. Ale co zrobić, gdy Twoja przeglądarka mówi, że bezpieczna witryna nie jest w pełni bezpieczna? Dzisiejszy post z pytaniami i odpowiedziami dla SuperUser zawiera odpowiedź na pytanie zmartwionego czytelnika.
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser — pododdziału Stack Exchange, społecznościowej grupy witryn internetowych z pytaniami i odpowiedziami.
Pytanie
Czytnik SuperUser David Starkey chce wiedzieć, dlaczego jego przeglądarka twierdzi, że bezpieczna witryna nie jest w pełni bezpieczna:
Uzyskowałem dostęp do Pandory przez SSL i zauważyłem kilka ikon przy adresie URL. Pierwszy to wykrzyknik w trójkącie, wskazujący, że strona nie jest w pełni bezpieczna.
Obok znajduje się tarcza. Ten mówi, że treść, która nie jest bezpieczna, jest zablokowana.
Te stwierdzenia, przynajmniej dla mnie, wydają się ze sobą sprzeczne. Czy ktoś może mi to wyjaśnić? Czy moje połączenie jest bezpieczne, czy nie? Udało mi się uzyskać dostęp do witryny Pandora za pomocą przeglądarki Firefox 30.0 w systemie Windows 7. Mam też HTTPS wszędzie zainstalowany.
Co tu się dzieje? Czy połączenie Davida z witryną Pandora jest bezpieczne, czy nie?
Odpowiedź
Współtwórca SuperUser redburn ma dla nas odpowiedź:
Nazywa się to stroną „z mieszaną treścią”. Z sieci programistów Mozilli (Treść mieszana):
- Jeśli strona HTTPS zawiera treść pobraną za pomocą zwykłego protokołu HTTP w postaci zwykłego tekstu, połączenie jest tylko częściowo zaszyfrowane: niezaszyfrowana treść jest dostępna dla snifferów i może zostać zmodyfikowana przez osoby atakujące typu „man-in-the-middle”, w związku z czym połączenie nie jest już chronione . Gdy strona internetowa wykazuje takie zachowanie, nazywa się to zawartość mieszana strona.
Stwierdzenia nie są sprzeczne, ale uzupełniają się i być może trochę mylące. Pierwsza mówi, że sama strona nie jest w pełni bezpieczna, ponieważ zawiera niezaszyfrowane elementy (powiadomią Cię o tym wszystkie przeglądarki internetowe), podczas gdy druga zauważa, że te elementy zostały automatycznie zablokowane przez Firefoksa.
Gdyby Firefox nie blokował niezaszyfrowanych elementów, to mówiąc ściślej, strona nie byłaby bezpieczna.
HTTPS Everywhere nie gwarantuje bezpiecznego połączenia. Będzie próbował wymusić HTTPS tylko wtedy, gdy będzie dostępny; jeśli tak nie jest, użytkownik lub przeglądarka nie może nic z tym zrobić poza blokowaniem niezabezpieczonych treści.
Masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych doświadczonych technologicznie użytkowników Stack Exchange? Sprawdź pełny wątek dyskusji tutaj.