내 이해는 이것이 지나치게 신중한 예일 뿐이지 만, 나의 결제 양식에 안전하지 않은 자산이 포함되어 있어도 신용 카드 번호가 중간자에 의해 잡히지 않을 위험이 없습니다.
캐시 된 콘텐츠 또는 기타 이유로 인해 가끔씩 누군가가이 "오류"(내 페이지에 안전하지 않은 자산이 없지만)를보고 있다고 썼지 만 설명을 원하기 때문에이 질문을하고 있습니다.
예, 암호화 및 인증서, 신뢰 및 중간자에 대해 모두 말할 수 있습니다. 그러나 나는 이것에 대해 그들에게 무엇을 말합니까? 사이트가 100 % 안전하다는 것을 어떻게 확신시킬 수 있습니까?
답변:
"혼합 스크립팅"취약점은 HTTPS를 통해 제공되는 페이지가 HTTP를 통해 스크립트, CSS 또는 플러그인 리소스를로드 할 때 발생합니다. 중간자 공격자 (예 : 동일한 무선 네트워크에있는 사람)는 일반적으로 HTTP 리소스로드를 가로 채서 리소스를로드하는 웹 사이트에 대한 전체 액세스 권한을 얻을 수 있습니다. 웹 페이지가 HTTPS를 전혀 사용하지 않은 것처럼 종종 나쁩니다.
http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html
보안 연구원과 많은 웹 개발자는 위협을 잘 이해하고 표현합니다. 혼합 컨텐츠 취약점을 통해 사용자를 공격하는 3 가지 쉬운 단계가 있습니다…
1) 중간자 공격을 설정하십시오. 이들은 커피 숍이나 공항과 같은 공공 네트워크에서 가장 쉽게 수행됩니다.
2) 혼합 컨텐츠 취약성을 사용하여 악성 Javascript 파일을 주입하십시오. 사용자가 브라우저하는 HTTPS 웹 사이트에서 악성 코드가 실행됩니다. 요점은 HTTPS 사이트에 혼합 컨텐츠 취약점이 있다는 점입니다. 즉, HTTP를 통해 다운로드 된 컨텐츠를 실행합니다. 바로 중간자 (Man-in-the-Middle) 공격과 혼합 컨텐츠 취약점이 위험한 시나리오로 결합 된 곳입니다.
“일부 공격자가 Javascript 또는 스타일 시트 파일을 조작 할 수있는 경우 페이지의 다른 컨텐츠를 효과적으로 조작 할 수도 있습니다 (예 : DOM 수정). 그래서 그것은 전부 또는 아무것도 아닙니다. 모든 요소가 SSL을 사용하여 제공되면 안전합니다. 또는 일반 HTTP 연결에서 일부 Javascript 또는 스타일 시트 파일을로드하면 더 이상 안전하지 않습니다.”-me
3) 사용자의 신원을 도용하십시오 (또는 다른 나쁜 일을하십시오).
http://ie.microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1
관련 질문 : /programming/3778819/browser-mixed-content-warning-whats-the-point