web-dev-qa-db-ja.com

混合コンテンツがHTTPSセッション全体をどのように侵害する可能性がありますか?

Google Chromeは、SSLエラーを強調するという点で、おそらくより厳しいブラウザの1つです。

ほとんどのブラウザは、安全でない画像/ JavascriptをロードするHTTPSページを表示しているときに指摘します。これがセキュリティ上の問題であることがわかります。攻撃者は非SSLコンテンツを変更して、たとえば、JavaScriptを挿入しました。

ただし、混合コンテンツを含むHTTPSページを表示すると、Google Chromeは、同じコンテンツを閲覧している限り、混合コンテンツの警告(「https://」を通る赤い線)を表示し続けますドメイン、他のHTTPSリソースのみを含む後続ページでも。別のドメインに移動するか、新しいタブを開くと、再び安全であることが通知されます。

ここからあなたを守る危険は何ですか?前のページの混合コンテンツ実際は、後続の保護されたページのセキュリティにどのように影響しますか?混合コンテンツにはフラグを立てる必要があることを理解していますが、「Well you still need to know」以外に、Googleがこの警告を保持し続ける特定の理由が必要です。

4
Gareth

混合コンテンツを使用する際の最大の問題は、(明示的に防止することなく)Cookieが両方のリクエストに送信されることです。つまり、安全なHTTPS接続で使用する必要があるセッションCookieは、安全でないHTTPページリクエストにも送信され、写真のリクエストにも送信されます。

攻撃者がこのセッションCookieを読み取ることができる場合、攻撃者はあなたと同じ権限でサイトにアクセスできます(ログインしている場合、彼もログインしています)。セッションが既にハイジャックされているため、HTTPSのみに切り替えることは役に立ちません。

3
martinstoeckli