1. 首页
  2. 问答
  3. 浏览器混合内容警告 - 有什么意义?

浏览器混合内容警告 - 有什么意义?

2010-09-23 62 views
2

我在我的SSL保护网站上使用Google地图API。因此,我总是从我的web应用程序中弹出一个可怕的“混合内容”警告。这很烦人。我明白,当将应用程序投入生产时,我可以解决此问题,我会向Google注册一个首要帐户。欢呼。我只是感到困惑:无论我通过HTTP还是HTTPS下载内容,Google对我站点完整性的威胁都保持不变。换句话说,浏览器提出这个警告有什么意义?浏览器混合内容警告 - 有什么意义?

谢谢。

来源

2010-09-23 Ollie2893

回答

0

此消息存在的原因是任何HTTPS连接都通过SSL提供服务,因此浏览器知道进入的数据确实是从服务器发送的确切数据。

通过HTTP传递的任何组件都不是这种情况 - 这些组件可能会更改通过SSL提供的组件,因此无法保证HTTPS数据的正确性。

这就是警告出现的原因。

来源

2010-09-23 13:41:55 Oded

2

从谷歌到我的网站的完整性的威胁仍然是相同的我是否拉下他们通过HTTP或HTTPS

我觉得你用错了threat model这里的内容。威胁是而不是谷歌可能会采取恶意行为并将错误的数据发送给您的用户。事实上,SSL不会防止这种情况发生。

实际的威胁是,中间的人(您的用户和谷歌之间)可能会窃听未受保护的数据,以确定您的用户需要做什么,甚至修改未受保护的内容以欺骗他们。

浏览器有责任以某种方式通知用户这种攻击是可能的。否则,用户会错误地认为一切都是安全的,因为他输入了“https”地址。

来源

2010-09-23 13:53:03

+0

我不确定在编写时使用了错误的“线程模型”。从你的回答中可以看出,你比任何中间人都更相信谷歌。我认为任何混搭第三方小部件的应用程序都比第三方更容易受到第三方的影响。 – Ollie2893 2010-09-23 14:52:03

+3

@ Ollie2893:当您决定使用他们的地图API时,您已经选择信任谷歌。声称你不相信他们是荒谬的;你为什么要故意让你的Web应用程序对攻击者开放? – 2010-09-23 15:25:45

+0

我写了自己的地图API(这是浪费时间;我不在地图制作业务),我必须使用外部提供者。我不会读到我使用Google信任的API。 Google的企业文化充其量是隐私的矛盾。只要想一想地图API是一个美妙的木马。不幸的是,我想不出一种沙盒的方式。 – Ollie2893 2010-09-24 12:42:22

6

来自Google的威胁可能会保持不变,但当您通过http加载Google内容时,您不必担心来自Google的威胁;您还需要担心中间人攻击,其中有人伪装成Google,并将恶意内容注入到您的页面中。由于使用不受信任或不安全的无线网络的人数众多,现在在中间人攻击中发起攻击并不难。

另外,https应该保护双向信息。如果网页上的内容未通过https保护,但用户在地址和锁定图标中看到https,则他们可能认为他们输入的信息对于窃听者是安全的,事实上,某些信息以明文传输。

来源

2010-09-23 13:53:39

+1

“Google的威胁可能保持不变” - 这是关键。如果我切换到HTTPS进行混搭,那么浏览器会很安静,但用户信息可能仍会泄露给Google。换句话说,在抑制浏览器警告时,HTTPS会产生虚假的安全感。 – Ollie2893 2010-09-23 15:16:14

+4

@ Ollie2893 HTTPS当然不能解决所有的安全问题;即使使用HTTPS(跨站点脚本,与您通话的恶意或无能的服务器,钓鱼攻击等),仍然存在各种各样的威胁。警告的原因是,即使HTTPS应该提供的保证,也就是说,您的数据将被加密到服务器,并且来自服务器的内容是真实的,但一旦混合HTTP和HTTPS内容。 – 2010-09-23 15:37:39

相关问题

 相关问题