É realmente um problema de segurança ter ativos não seguros em uma página SSL?

11

Meu entendimento é que este é apenas um exemplo de ser excessivamente cauteloso, mas se meu formulário de pagamento contém um ativo não seguro, isso não compromete o número de cartão de crédito de ninguém de ser pego por um homem do meio.

Estou perguntando isso de vez em quando, talvez por causa de conteúdo em cache ou outros enfeites, alguém escreve dizendo que está vendo esse "erro" (mesmo que não haja recursos inseguros na minha página), mas eles querem uma explicação.

Então, sim, posso contar tudo sobre criptografia e certificados, confiança e homens intermediários. Mas o que lhes digo sobre isso. Como convencê-los de que o site é 100% seguro (e, se não estiver, me avise que estou enganado!)

estúpido
fonte
qual é o URL da sua página SSL?

Respostas:

12

Uma vulnerabilidade de "script misto" é causada quando uma página veiculada em HTTPS carrega um script, CSS ou recurso de plug-in sobre HTTP. Um invasor intermediário (como alguém na mesma rede sem fio) normalmente pode interceptar a carga do recurso HTTP e obter acesso total ao site que está carregando o recurso. Muitas vezes, é tão ruim como se a página da web não tivesse usado HTTPS.

http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html

Pesquisadores de segurança e muitos desenvolvedores da Web entendem e articulam bem a ameaça. Existem três etapas fáceis para atacar o usuário através de uma vulnerabilidade de conteúdo misto…

1) Configure um ataque do tipo Man-in-the-Middle. Isso é feito com mais facilidade em redes públicas, como as de cafeterias ou aeroportos.

2) Use uma vulnerabilidade de conteúdo misto para injetar um arquivo javascript malicioso. O código malicioso será executado em um site HTTPS no qual o usuário navegará. O ponto principal é que o site HTTPS possui uma vulnerabilidade de conteúdo misto, o que significa que ele executa o conteúdo baixado por HTTP. É aqui que o ataque Man-in-the-Middle e a vulnerabilidade de Conteúdo Misto se combinam em um cenário perigoso.

“Se algum invasor puder violar arquivos Javascript ou de folha de estilo, ele também poderá violar efetivamente o outro conteúdo da sua página (por exemplo, modificando o DOM). Então é tudo ou nada. Todos os seus elementos são exibidos usando SSL, e você está seguro. Ou você carrega alguns arquivos Javascript ou de folha de estilo a partir de uma conexão HTTP simples e não está mais seguro. ”- me

3) Roube a identidade do usuário (ou faça outras coisas ruins).

http://ie.microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1

Pergunta relacionada: /programming/3778819/browser-mixed-content-warning-whats-the-point

RedGrittyBrick
fonte