我通过 SSL 访问 Pandora,注意到 URL 旁边有几个图标。第一个是三角形中的感叹号,表示该页面并不完全安全:
旁边是盾牌?这个盾牌表示不安全的内容将被屏蔽。
至少在我看来,这些说法似乎是相反的。有人能给我解释一下吗?我的连接安全吗?
通过 Windows 7 上的 Firefox 30.0 访问。我也有无处不在的 HTTPS已安装。
答案1
这被称为“混合内容”页面。
如果 HTTPS 页面包含通过常规明文 HTTP 检索的内容,则连接仅部分加密:未加密的内容可供嗅探器访问,并可由中间人攻击者修改,因此连接不再受到保护。
https://developer.mozilla.org/en-US/docs/Security/MixedContent
这些说法并不矛盾,而是互补的;也许有点令人困惑。第一个说法说页面本身并不完全安全,因为它包含未加密的元素(所有网络浏览器都会通知您这一点),而第二个说法指出这些元素已被 Firefox 自动阻止。
如果 Firefox 不阻止未加密的元素,那么严格来说该页面就不安全。
(HTTPS Everywhere 不能保证安全连接。它只会在 HTTPS 可用时尝试强制使用 HTTPS;如果不可用,用户/浏览器除了阻止不安全的内容之外什么也做不了。)
答案2
典型的网页会通过许多不同的流进行加载。有些流(例如图像)可能使用 HTTPS 加载,但有些流可能通过 HTTP 加载。
文字只是说那些使用 HTTP 加载的将被阻止。如果您查看页面的源代码,您可能会看到一些内容被引用为 HTTP。
答案3
当您通过 HTTP 访问网站时,您的连接很容易受到窃听和中间人 (MiTM) 攻击。网站不会来回传递敏感信息(个人身份信息、社会安全号码、信用卡等)。当您访问完全通过 HTTPS 提供的页面(如 PayPal 和金融机构)时,您的连接会经过身份验证和加密。但是,当网站托管 HTTP 内容以及通过 HTTPS 提供的内容时,它通常被称为混合内容页面/网站。大多数浏览器(如 Firefox)会自动阻止不安全的内容。大多数页面仍将正确显示,您仍将能够浏览网站的安全部分。
那么,您是安全的还是不安全的?由于我们在浏览互联网时从来都不是完全安全的;我认为可以肯定地说,您的会话是“安全的”,或者从用户端来说,它是最安全的。
我希望我回答了你的问题。