Ist es wirklich ein Sicherheitsproblem, nicht sichere Assets auf einer SSL-Seite zu haben?

11

Ich verstehe, dass dies nur ein Beispiel dafür ist, dass ich übermäßig vorsichtig bin. Wenn mein Checkout-Formular jedoch einen unsicheren Vermögenswert enthält, gefährdet dies nicht, dass jemandes Kreditkartennummern von einem Mann in der Mitte erwischt werden.

Ich frage dies, weil hin und wieder, vielleicht wegen zwischengespeicherter Inhalte oder so, jemand schreibt, dass er diesen "Fehler" sieht (obwohl es keine unsicheren Assets auf meiner Seite gibt), aber er möchte eine Erklärung.

Also ja, ich kann alles über Verschlüsselung und Zertifikate und Vertrauen und Männer in der Mitte erzählen. Aber was erzähle ich ihnen darüber? Wie kann ich sie davon überzeugen, dass die Website 100% sicher ist (und wenn nicht, lassen Sie mich wissen, dass ich mich irre!)

Dummkopf
quelle
Wie lautet die URL Ihrer SSL-Seite?

Antworten:

12

Eine Sicherheitsanfälligkeit bezüglich „gemischter Skripterstellung“ wird verursacht, wenn eine über HTTPS bereitgestellte Seite ein Skript, CSS oder eine Plug-In-Ressource über HTTP lädt. Ein Man-in-the-Middle-Angreifer (z. B. jemand im selben drahtlosen Netzwerk) kann normalerweise die HTTP-Ressourcenlast abfangen und vollen Zugriff auf die Website erhalten, auf der die Ressource geladen wird. Es ist oft so schlimm, als hätte die Webseite überhaupt kein HTTPS verwendet.

http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html

Sicherheitsforscher und viele Webentwickler verstehen und artikulieren die Bedrohung gut. Es gibt 3 einfache Schritte, um den Benutzer durch eine Sicherheitsanfälligkeit bezüglich gemischter Inhalte anzugreifen.

1) Richten Sie einen Man-in-the-Middle-Angriff ein. Diese sind am einfachsten in öffentlichen Netzwerken wie in Coffeeshops oder auf Flughäfen durchzuführen.

2) Verwenden Sie eine Sicherheitsanfälligkeit für gemischte Inhalte, um eine schädliche Javascript-Datei einzufügen. Schädlicher Code wird auf einer HTTPS-Website ausgeführt, zu der der Benutzer navigiert. Der entscheidende Punkt ist, dass die HTTPS-Site eine Sicherheitsanfälligkeit für gemischte Inhalte aufweist, was bedeutet, dass über HTTP heruntergeladene Inhalte ausgeführt werden. Hier verbinden sich der Man-in-the-Middle-Angriff und die Sicherheitsanfälligkeit für gemischte Inhalte zu einem gefährlichen Szenario.

„Wenn ein Angreifer in der Lage ist, Javascript- oder Stylesheet-Dateien zu manipulieren, kann er auch den anderen Inhalt Ihrer Seite manipulieren (z. B. durch Ändern des DOM). Also ist es entweder alles oder nichts. Entweder werden alle Ihre Elemente über SSL bereitgestellt, dann sind Sie sicher. Oder Sie laden einige Javascript- oder Stylesheet-Dateien von einer einfachen HTTP-Verbindung, dann sind Sie nicht mehr sicher. “- ich

3) Stehlen Sie die Identität des Benutzers (oder tun Sie andere schlechte Dinge).

http://ie.microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1

Verwandte Frage: /programming/3778819/browser-mixed-content-warning-whats-the-point

RedGrittyBrick
quelle