https経由で読み込まれたページにhttp経由で読み込まれた画像を表示する場合のセキュリティリスクは何ですか?
アプリの一部がユーザーにメールのコンテンツを表示するPWAを開発しています。ただし、メールに含まれる画像のURLの多くはhttpドメインから取得されるため、PWAに読み込まれません(PWAはhttpsドメインから取得された画像のみを読み込むため)。
Google検索の結果、これを解決するには、ドメインを介してすべての画像をプロキシする必要があるため、httpsを介して提供されるようにしなければなりませんでした。
しかし、それによって本当に私の接続はより安全になりますか?現時点でHTTP経由でロードされるのは画像のみです。サーバーを介してプロキシした場合、ある時点で、まだ暗号化されていないソースサーバーから取得する必要があります(httpsでは画像を利用できないため) )。
Gmailがすべての画像をプロキシすることに気づきました。したがって、セキュリティ上の利点がいくつかあるはずです。それがどういうものか、私には考えられません。
「混合コンテンツ」で直面する問題は数多くあり、十分に文書化されています。たとえば、 Google自身の説明を参照してください。
簡単な例をいくつか示します。
- 画像が同じドメイン上にある場合(「セキュア」が設定されていない場合)、画像のフェッチ時にセッションCookieが平文で送信されることがあります。
- 攻撃者は、HTTPを介してロードされたコンテンツを、HTTPSを介してロードされたコンテンツと同じセキュリティコンテキストで実行される悪意のあるものに置き換えます。これはJavascriptでより簡単に見られますが、同様の問題が画像形式にも存在します(バグが原因か、スクリプトをサポートする形式が原因か)。