it-swarm.com.de

Ist es wirklich ein Sicherheitsproblem, nicht sichere Assets auf einer SSL-Seite zu haben?

Ich verstehe, dass dies nur ein Beispiel für übermäßige Vorsicht ist. Wenn mein Checkout-Formular jedoch ein unsicheres Gut enthält, gefährdet dies nicht die Kreditkartennummern von Personen, die sich in der Mitte befinden.

Ich frage dies, weil hin und wieder, vielleicht wegen zwischengespeichertem Inhalt oder so, jemand schreibt, er sehe diesen "Fehler" (obwohl es auf meiner Seite keine unsicheren Assets gibt), aber er möchte eine Erklärung.

Also ja, ich kann alles über Verschlüsselung und Zertifikate und Vertrauen und Männer in der Mitte erzählen. Aber was erzähle ich ihnen darüber? Wie kann ich sie davon überzeugen, dass die Website 100% sicher ist?

11
blockhead

Eine Sicherheitsanfälligkeit in Bezug auf gemischte Skripte wird verursacht, wenn eine Seite, die über HTTPS bereitgestellt wird, ein Skript, CSS oder eine Plug-in-Ressource über HTTP lädt. Ein Man-in-the-Middle-Angreifer (z. B. jemand im selben drahtlosen Netzwerk) kann in der Regel die HTTP-Ressourcenlast abfangen und vollen Zugriff auf die Website erhalten, auf der die Ressource geladen wird. Es ist oft so schlimm, als ob die Webseite überhaupt kein HTTPS verwendet hätte.

http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html

Sicherheitsforscher und viele Webentwickler verstehen und artikulieren die Bedrohung gut. Es gibt 3 einfache Schritte, um den Benutzer durch eine Sicherheitsanfälligkeit mit gemischten Inhalten anzugreifen.

1) Richten Sie einen Man-in-the-Middle-Angriff ein. Dies geschieht am einfachsten in öffentlichen Netzen wie Cafés oder Flughäfen.

2) Verwenden Sie eine Sicherheitsanfälligkeit für gemischte Inhalte, um eine schädliche Javascript-Datei einzuschleusen. Schädlicher Code wird auf einer HTTPS-Website ausgeführt, auf die der Benutzer zugreift. Der entscheidende Punkt ist, dass die HTTPS-Site eine Sicherheitsanfälligkeit in Bezug auf gemischten Inhalt aufweist. Dies bedeutet, dass über HTTP heruntergeladene Inhalte ausgeführt werden. Hier verbinden sich der Man-in-the-Middle-Angriff und die Sicherheitsanfälligkeit für gemischte Inhalte zu einem gefährlichen Szenario.

„Wenn ein Angreifer in der Lage ist, Javascript- oder Stylesheet-Dateien zu manipulieren, kann er effektiv auch andere Inhalte auf Ihrer Seite manipulieren (z. B. durch Ändern des DOM). Es ist also entweder alles oder nichts. Entweder werden alle Ihre Elemente mit SSL bedient, dann sind Sie sicher. Oder Sie laden einige Javascript- oder Stylesheet-Dateien von einer normalen HTTP-Verbindung und sind dann nicht mehr sicher. “- Ich

3) Die Identität des Benutzers stehlen (oder andere schlechte Dinge tun).

http://ie.Microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1

Verwandte Frage: https://stackoverflow.com/questions/3778819/browser-mixed-content-warning-whats-the-point

12
RedGrittyBrick