帮助SSL漏洞（混合内容）？

Question

嘿家伙我有我自己的网络服务器，这是一个网站，我最近安装/设置了一个自签名的SSL证书。保护网站似乎没有问题，但在firefox和IE中，我有时会弹出一些框，提示“本页面上有混合安全和不安全的信息......”，并在Firefox的错误控制台中谈到可能容易受到SSL漏洞的影响（CVE-2009）。

1. 这真的是我应该担心的漏洞吗？
2. 有谁知道可能会导致问题的原因/我如何解决导致问题的原因？

Answer 1

基本上你会在页面的某个地方提供HTTP内容，可以是图片，CSS文件或其他东西。解决这个问题最好的方法之一是使用协议相对URL;他们有

"//example.com/image.gif" 

形式例如

<img src="//example.com/image.gif" /> 

这与使用托管页面有协议，HTTP加载资源的效果，如果它是HTTP，HTTPS，如果是HTTPS。

由于资源的协议清晰地显示在UI中，提琴手对tracking these things down非常棒;

alt text http://www.enhanceie.com/images/blog/IEBlogX-fiddler.png

Answer 2

混合上下文警告是由使用http加载一些内容（图像，脚本，css，iframe，...）引起的。找到这些最简单的方法是在浏览器中打开源代码视图并搜索“http：//”。

这确实是一个安全问题：如果攻击者可以操纵脚本或css文件，他可以修改页面的任何部分（例如更改登录表单的目标）。甚至图像也是一个问题，因为它们可能会显示误导用户的说明。

我想你指的是CVE-2009-3555：这与混合内容警告无关。你可以忽略它，假设你的Web服务器使用最新的安全更新：

不幸的是，使用本，有缺陷的SSL/TLS协议版本时，则无法判断网站是否受到保护脆弱。

https://wiki.mozilla.org/Security:Renegotiation

Answer 3

隔离HTTP与HTTPS请求另一个好方法是通过fiddler - 你应该马上看到哪些文件，如果有的话，请你的网站没有SSL。

请求应该具有HTTP REFERER头部集，这可以帮助找出为什么通过HTTP请求这些资源而不是HTTPS。

如果您的网站使用IFRAME，则会出现一个不明确的问题，其中内容在运行时设置。在IFRAME中没有内容（一个空的源标签）会导致IE认为它不是受HTTPS保护的资源，因此即使没有实际通过HTTP传输内容，您也会收到警告。

Answer 4

这可能是一个安全问题。有关如何解决该问题的信息，请参阅http://www.sslshopper.com/article-stop-the-page-contains-secure-and-nonsecure-items-warning.html。