因此,我在网站上从 Firefox 获得了这个弹出窗口:
我继续向网站询问此事,他们说登录信息已加密提交。为什么我仍然会弹出窗口?谁在撒谎?我如何才能发现?
答案1
他们说登录信息已加密提交
那是还不够好。如果登录表单显示的页面本身未加密,则登录表单是否提交到 HTTPS 目标并不重要。
这实际上解释了Mozilla 自己的文档。
我相信这就是你所看到的:
- 登录表单显示在 HTTP 站点上
- 登录表单提交按钮转到 HTTPS 网站
这是确保安全的要求:
- 登录表单显示在 HTTP年代地点
- 登录表单提交按钮转到 HTTPS 网站
另一种可能性他们在 HTTP 文档中嵌入了 HTTPS iframe,这遇到了类似的问题。
为什么?因为登录表单本身不安全,所以没有什么可以阻止攻击者修改该表单。这意味着他们可以改变表单并使其提交到非 HTTPS 网站,甚至是另一个网站!他们还可以注入一个脚本,捕获您的按键,并在您提交登录信息之前将其发送到攻击者控制的网站。
此后,如果在非 HTTPS 网站上检测到登录表单本身,无论它提交什么,Firefox 都将显示警告到。
这是一个非常常见的问题,许多网站运营商(包括您认为非常安全的网站,例如银行)似乎并未意识到这一点(或者根本不在乎)。Troy Hunt 有一些很棒的博客文章探讨了这个问题,追溯到五年前.当然如今仍然是一个常见的问题。
答案2
浏览器检测到该网站正在执行以下至少一项操作:
不使用https
连接仅部分加密(具有自签名证书或非由受信任机构颁发的证书的网站)。
正在使用弱加密。
最后两个问题是即使使用加密,连接也不是强大或完全加密的,从而为窃听或中间人攻击打开了大门。
您可以前往“更多信息”并检查所使用的加密:
并点击查看证书您可以看到网站使用的证书的详细信息:
