答案1
他们说登录信息已加密提交
那是还不够好。如果登录表单显示的页面本身未加密,则登录表单是否提交到 HTTPS 目标并不重要。
这实际上解释了Mozilla 自己的文档。
我相信这就是你所看到的:
- 登录表单显示在 HTTP 站点上
- 登录表单提交按钮转到 HTTPS 网站
这是确保安全的要求:
- 登录表单显示在 HTTP年代地点
- 登录表单提交按钮转到 HTTPS 网站
另一种可能性他们在 HTTP 文档中嵌入了 HTTPS iframe,这遇到了类似的问题。
为什么?因为登录表单本身不安全,所以没有什么可以阻止攻击者修改该表单。这意味着他们可以改变表单并使其提交到非 HTTPS 网站,甚至是另一个网站!他们还可以注入一个脚本,捕获您的按键,并在您提交登录信息之前将其发送到攻击者控制的网站。
此后,如果在非 HTTPS 网站上检测到登录表单本身,无论它提交什么,Firefox 都将显示警告到。
这是一个非常常见的问题,许多网站运营商(包括您认为非常安全的网站,例如银行)似乎并未意识到这一点(或者根本不在乎)。Troy Hunt 有一些很棒的博客文章探讨了这个问题,追溯到五年前.当然如今仍然是一个常见的问题。