我不是100%确定我使用的是正确的术语,或者如果我遗漏了需要回答的信息。所以请耐心等待我。当一个页面通过https传递安全和非安全项目时,安全项目是否受到攻击?
我的客户希望在其网站的会员区域内包含来自外部来源的视频馈送。成员区域通过https传送,而视频源不是。这是否会危及安全数据?
我知道一些浏览器提醒用户,网页上有加载的安全和非安全数据。坦率地说,我的客户没问题,但如果用户帐户信息(特别是会话等)受到威胁,我不想继续前进。
感谢您的任何帮助。
如果您的页面引用未加密的Javascript或Flash,则完全不受保护;攻击者可以替换他想要的任何Javascript,并且可以窃取非HTTP仅cookie,或者进行假冒当前用户的任意HTTP请求。
如果你参考未加密的CSS,你仍然是脆弱的;攻击者可以任意修改你的布局,并且can execute arbitrary code in IE and Firefox。
如果你参考未加密的图像,你大多都很好;攻击者所能做的就是查看Referer头,并找出用户正在看到的页面。 (他还会为图片的域名获取任何不支持SSL的Cookie)。 攻击者也可以改变图像以适应他的需求,这可能是一个问题。
如果您根据cookie识别您的用户,例如使用标准SessionId,那么即使只引用静态图像,您也很容易受到攻击。
默认情况下,用户的浏览器将重新发送的每个请求的会话cookie到同一个主机,与协议无关。即您在登录表单上使用HTTPS安全地对用户进行身份验证,并确保对所有敏感页面继续使用HTTPS ...
但是,您还通过HTTP包含“非敏感”图像...用户的浏览器将愉快地发送敏感会话cookie在非加密,非安全,纯文本的HTTP请求这些图像时。
然后,它只是从HTTP抓取该cookie,并将您的用户模拟回网站的安全部分。
注意,这是默认。 您可以通过将secure;属性添加到您的Cookie来更改此行为。根据您的框架,您可以将其配置为自动发生。再次,这不是默认的,你必须明确地改变它。
当你在它的时候,也添加httpOnly;属性。
视频馈送如何工作? – SLaks 2011-04-12 15:55:57
视频源通过另一台服务器提供的Flash播放器(ustream的分水岭) – quakkels 2011-04-12 15:59:00
如果您加载的是未加密的SWF,则非常容易受到攻击。 – SLaks 2011-04-12 16:00:32