Apakah benar-benar masalah keamanan untuk memiliki aset yang tidak aman pada halaman ssl?

11

Pemahaman saya adalah bahwa ini hanyalah contoh dari terlalu berhati-hati, tetapi jika formulir checkout saya mengandung aset tidak aman di atasnya, itu tidak membahayakan nomor kartu kredit siapa pun dari tertangkap oleh seorang pria di tengah-tengah.

Saya menanyakan hal ini karena kadang-kadang, mungkin karena konten yang di-cache atau yang lainnya, seseorang menulis dengan mengatakan bahwa mereka melihat "kesalahan" ini (walaupun tidak ada aset tidak aman di halaman saya), tetapi mereka menginginkan penjelasan.

Jadi ya, saya bisa menceritakan semua tentang enkripsi dan sertifikat serta kepercayaan dan men-in-the-middle. Tapi apa yang harus saya katakan tentang hal ini kepada mereka. Bagaimana saya meyakinkan mereka bahwa situs tersebut 100% aman (dan jika tidak biarkan saya tahu bahwa saya salah!)

orang dungu
sumber
apa URL halaman SSL Anda?

Jawaban:

12

Kerentanan "skrip campuran" disebabkan ketika halaman yang ditayangkan melebihi HTTPS memuat skrip, CSS, atau sumber daya plug-in melalui HTTP. Seorang penyerang tengah (seperti seseorang di jaringan nirkabel yang sama) biasanya dapat mencegat muatan sumber daya HTTP dan mendapatkan akses penuh ke situs web yang memuat sumber daya. Seringkali sama buruknya dengan jika halaman web tidak menggunakan HTTPS sama sekali.

http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html

Peneliti keamanan dan banyak pengembang web memahami dan mengartikulasikan ancaman dengan baik. Ada 3 langkah mudah untuk menyerang pengguna melalui kerentanan konten campuran ...

1) Mengatur serangan Man-in-the-Middle. Ini paling mudah dilakukan di jaringan publik seperti di warung kopi atau bandara.

2) Gunakan kerentanan konten campuran untuk menyuntikkan file javascript berbahaya. Kode berbahaya akan berjalan di situs web HTTPS yang dikunjungi oleh pengguna. Poin kuncinya adalah bahwa situs HTTPS memiliki kerentanan konten campuran di atasnya, yang berarti bahwa itu mengeksekusi konten yang diunduh melalui HTTP. Di sinilah kerentanan serangan Manusia-Dalam-Tengah dan Konten Campuran menjadi satu skenario berbahaya.

“Jika beberapa penyerang dapat merusak file Javascript atau stylesheet, ia dapat secara efektif merusak konten lain di halaman Anda (misalnya dengan memodifikasi DOM). Jadi itu semua atau tidak sama sekali. Entah semua elemen Anda dilayani menggunakan SSL, maka Anda aman. Atau Anda memuat beberapa file Javascript atau stylesheet dari koneksi HTTP biasa, maka Anda tidak aman lagi. ”- saya

3) Mencuri identitas pengguna (atau melakukan hal-hal buruk lainnya).

http://ie.microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1

Pertanyaan terkait: /programming/3778819/browser-mixed-content-warning-whats-the-point

RedGrittyBrick
sumber