З усіма неприємностями, з якими можна зіткнутися в Інтернеті, завжди є гарною ідеєю мати якомога безпечніший зв’язок. Але що ви робите, коли ваш браузер каже, що захищений веб-сайт не повністю захищений? Сьогоднішня публікація запитань SuperUser містить відповідь на запитання стурбованого читача.
Сьогоднішня сесія запитань і відповідей надійшла до нас люб’язно від SuperUser - підрозділу Stack Exchange, угруповання веб-сайтів із питань та відповідей на основі спільноти.
Питання
Читач SuperUser Девід Старкі хоче знати, чому його браузер каже, що захищений веб-сайт не є повністю захищеним:
Я отримував доступ до Pandora через SSL і помітив кілька значків за URL-адресою. По-перше, це знак оклику у трикутнику, який вказує на те, що сторінка не повністю захищена.
Поруч - щит. Цей каже, що вміст, який не захищений, заблокований.
Ці висловлювання, принаймні для мене, здаються суперечать одне одному. Хтось може пояснити мені це? Чи надійне моє з’єднання чи ні? Я зайшов на веб-сайт Pandora за допомогою Firefox 30.0 у Windows 7. Я також маю HTTPS скрізь встановлений.
Що тут відбувається? Чи є зв’язок Девіда з веб-сайтом Pandora безпечним чи ні?
Відповідь
Учасник SuperUser redburn має для нас відповідь:
Це називається сторінкою “змішаного вмісту”. Від мережі розробників Mozilla (Змішаний вміст) :
- Якщо сторінка HTTPS включає вміст, отриманий за допомогою звичайного чистого тексту HTTP, тоді з'єднання зашифровано лише частково: незашифрований вміст доступний для обробників і може бути змінений зловмисниками "людина посередині", і тому з'єднання більше не захищається . Коли веб-сторінка виявляє таку поведінку, вона називається змішаний зміст сторінки.
Твердження не суперечливі, а доповнюють і, можливо, трохи заплутані. Перший говорить, що сама сторінка не є повністю захищеною, оскільки вона містить незашифровані елементи (всі веб-браузери повідомлять вас про це), тоді як друга зазначає, що ці елементи були автоматично заблоковані Firefox.
Якби Firefox не блокував незашифровані елементи, то, строго кажучи, сторінка не була б захищеною.
HTTPS Everywhere не гарантує надійне з'єднання. Він намагатиметься застосувати HTTPS лише тоді, коли він доступний; якщо це не так, тоді користувач або браузер нічого не може з цим зробити, окрім блокування незахищеного вмісту.
Є що додати до пояснення? Звук у коментарях. Хочете прочитати більше відповідей від інших досвідчених користувачів Stack Exchange? Ознайомтесь із повним обговоренням тут .
