Frage:
Was bedeutet diese Https-Warnung "Nicht vollständig sicher"?
user1
2017-01-10 21:58:20 UTC
view on stackexchange narkive permalink

Ich habe mich heute mit Google Chrome auf einer Website angemeldet und es wurde der folgende Fehler angezeigt:

enter image description here

Ihre Verbindung zu dieser Site ist nicht vollständig sicher.

Angreifer können möglicherweise die Bilder sehen, auf denen Sie sich gerade befinden Diese Site und Trick Sie, indem Sie sie ändern

Als ich auf den Link Details geklickt habe, steht Folgendes

Die Website enthält HTTP-Ressourcen

Ich habe diese Warnung noch nie gesehen.

Was bedeutet diese Warnung für Laien und sollte ich mich mit meinem auf der Website anmelden? Benutzername und Passwort?

Extra:

Öffnen derselben Seite in Microsoft Edge Die Website ist sicher

Ja, Ihr Benutzername und Ihr Passwort sind sicher.Bilder können Sie nicht verletzen, wie zum Beispiel nicht vertrauenswürdige Skripte.
Es gibt einen neuen Blog-Beitrag für die [* Sicherheits-Benutzeroberfläche in Chrome *] (https://textslashplain.com/2017/01/10/security-ui-in-chrome/) von from devs.Beinhaltet dieses UI-Bit.
Es ist erwähnenswert, dass Stack Exchange selbst Probleme mit genau diesem Szenario hatte.Siehe "[Bessere HTTPS-Unterstützung für Stack Exchange-Sites] (https://meta.stackexchange.com/questions/116782/better-https-support-for-stack-exchange-sites)"
Weitere Details finden Sie unter "Gemischter Inhalt". Dies bedeutet im Grunde, dass möglicherweise Stylesheets, Bilder oder noch schlechtere Skripte ohne https-Schutz geladen sind (mit denen Sie sie ändern und damit den Rest der Seite angreifen können).
Neun antworten:
crovers
2017-01-10 22:03:19 UTC
view on stackexchange narkive permalink

Kurz gesagt heißt es, dass während der Kern der Seite https (sicher) verwendet, um diese Informationen auf Ihren Computer zu übertragen, diese (sichere) Seite auf unsichere Elemente (wie Bilder und möglicherweise Skripte) verweist.

Angreifer können die Originalseite nicht direkt ändern, aber sie können die unsicheren Elemente ändern. Wenn dies Bilder sind, können sie das Bild ändern. Wenn dies Skripte sind, können sie diese auch ändern. Auf diese Weise können Angreifer ändern, was Sie sehen, obwohl die Kernseite "sicher" war.

Wie Michael Kjörling in den Kommentaren hervorhebt, werden dadurch auch einige Ihrer Informationen in diesen Anfragen angezeigt - möglicherweise Cookies (Wenn es sich um dieselbe Site handelt / mit den Cookie-Sites übereinstimmt / der Entwickler nicht nur "sicher" angegeben hat), Verweise usw., die im besten Fall einige Informationen darüber preisgeben, was Sie tun, und im schlimmsten Fall bestimmte Angriffe zulassen.

Dies ist eine schlechte Vorgehensweise des Webentwicklers - alle Elemente sollten einen sicheren Transport verwenden.

Sie können (möglicherweise) Ihre eigene Situation mit einem Browser-Plugin verbessern, das automatisch aktualisiert wird Alle Anfragen an http to https.

Ist diese Seite sicher, um meinen Benutzernamen und mein Passwort einzugeben?
"und möglicherweise Skripte" In diesem Fall mit ziemlicher Sicherheit keine Skripte.In der Warnmeldung werden nur Bilder erwähnt, daher bin ich mir ziemlich sicher, dass hier nur Bilder über HTTP übermittelt werden.
@user1 Wenn die unsicheren Teile der Seite Skripte wie Javascript enthalten, ist die Seite nicht sicher.Diese Skripte können alle Eingaben erfassen und an einen externen Server senden, ohne dass die Originalseite etwas dagegen tun kann.
@user1 Das ist eine viel schwierigere Frage, die von vielen Dingen abhängt, außer nur davon, ob die Website über eine sichere Verbindung bereitgestellt wird.In Bezug auf die Verbindung selbst klingt es jedoch so, als ob diese Seite einigermaßen sicher ist.Beachten Sie jedoch, wie in der Warnmeldung angegeben, dass _Bilder_, die Sie auf der Site anzeigen, möglicherweise von einem Angreifer ausspioniert und / oder geändert werden können.
IMO sollte dies auch die Tatsache erwähnen, dass der Referrer in den HTTP-Anforderungen im Klartext potenziell vertrauliche Informationen (mindestens ein vernünftiges, welche Seiten Sie betrachten) verlieren kann, die normalerweise durch HTTPS geschützt sind.
Chrome blockiert standardmäßig das Laden von Skripten über HTTP, wenn die Hauptseite mit HTTPS geladen wurde.
@Ajedi32,-Skripte können als Bilddateien getarnt werden ... zum Beispiel wie vom dänischen nationalen Authentifizierungssystem (!).
@KlaymenDK Ich bin mir nicht sicher, was Sie unter "als Bilddateien getarnt" verstehen, aber ich bin mir ziemlich sicher, dass wenn der Browser ein Bild aus irgendeinem Grund als Skript ausführt, es als warnendes Skript bezeichnet wirdNachrichten wie diese auch.
Die Frage ist, warum das neu ist.Ich habe diese Warnung vor vielen Jahren im IE gesehen.
Ich verstehe den Unterschied zwischen https und http, aber ich glaube, dass der Satz "Angreifer können möglicherweise die Bilder sehen, die Sie auf dieser Website betrachten, und Sie durch Ändern betrügen" irreführend ist.Ich verstehe den ersten Teil der Aussage aus MITM-Sicht, aber wie erleichtert die Bereitstellung von Bildern über http es einem Angreifer, sie zu ändern?
JackW
2017-01-11 06:44:26 UTC
view on stackexchange narkive permalink

Die Warnung bedeutet, dass bestimmte passive Elemente der Seite (passive Elemente sind Bilder, Videos, Audio usw.) über eine unsichere Verbindung geladen wurden. Über eine unsichere Verbindung wurde kein aktiver Inhalt geladen, bei dem es sich um Inhalte handelt, die auf Ihren Benutzernamen oder Ihr Kennwort zugreifen können (hauptsächlich Skripte, aber auch Iframes). Daher ist die Eingabe Ihres Kennworts auf dieser Seite genauso sicher, als ob die Warnmeldung nicht vorhanden wäre

Es gibt zwei Gründe, warum Browser Sie vor passiven gemischten Inhalten warnen. Das Offensichtliche ist, dass ein Angreifer die unsicheren Bilder durch etwas anderes ersetzen könnte. Das subtilere Risiko besteht darin, dass ein Angreifer, wenn er sehen kann, welche Bilder auf der Seite geladen werden, diese möglicherweise mit den Seiten auf der Site korrelieren kann, auf denen diese Bilder geladen werden, und anhand dieser Informationen bestimmen kann, welche Seite auf der Site angezeigt wird . In Ihrem Fall spielt dies keine Rolle, aber für einige Websites wird HTTPS teilweise verwendet, um zu verhindern, dass ein Lauscher bestimmt, welcher Teil einer Website angezeigt wird.

Wenn die Seite über HTTPS geladen wurde, und Es gibt gemischte aktive Inhalte, was bedeutet, dass die Eingabe Ihres Passworts nicht sicher ist. Ihr Browser blockiert das Skript automatisch, sodass dies kein Risiko darstellt. Wenn Sie sich für das Skript entscheiden, wird die Site sehr deutlich als unsicher markiert.

Vor dem Laden des unsicheren Inhalts:

Chrome mixed active content warning

Nach dem Klicken auf "Unsichere Skripte laden":

Chrome with a Not Secure warning

Vorausgesetzt, die URL beginnt mit https: / / und es gibt keine auffälligen Sicherheitswarnungen. Sie können Ihr Passwort sicher eingeben.

OscarAkaElvis
2017-01-10 22:02:03 UTC
view on stackexchange narkive permalink

Dies bedeutet, dass auf der Webseite nicht der gesamte Inhalt des https-Protokolls angezeigt wird. Es hat einige Teile mit http. Gemischter Inhalt ist nicht gut und dies erzeugt die Warnung, die Sie in Browsern sehen, da ein Teil des Inhalts in einfacher Form angezeigt werden kann.

Möglicherweise werden einige externe Bilder als <img src = "http: // geladen irgendwo.net "> oder etwas Javascript, CSS oder was auch immer.

Microsoft Edge ist meiner Meinung nach zu zuversichtlich. :)

iainpb
2017-01-10 22:04:47 UTC
view on stackexchange narkive permalink

Die Site lädt gemischte Inhalte. Einige Inhalte wie Bilder und CSS werden über einen unsicheren Kanal geladen, während der Inhalt der Hauptwebsite über HTTPS bereitgestellt wird. Dies ist häufig der Fall, wenn Stil / Bilder von CDNs abgerufen werden.

Theoretisch könnten die unsicheren Elemente Menschen in der Mitte sein und ohne Ihr Wissen modifiziert werden, um böswilligen Inhalten zu dienen.

Chrome macht Sie mehr als andere Browser auf solche Probleme aufmerksam, und es ist gut, vorsichtig zu sein. Wenn Sie dieser Website in der Vergangenheit vertraut haben und sie seriös ist, ist es wahrscheinlich sicher, fortzufahren. Wenn Sie dies für eine Website, der Sie vertrauen, noch nicht gesehen haben, möchten Sie den Entwicklern möglicherweise mitteilen, was passiert ist.

Denken Sie daran, dass ein aktiver Angreifer Ihre Verbindung überwachen muss, um diese Sicherheitsanfälligkeit ausnutzen zu können.

* "Ein aktiver Angreifer muss Ihre Verbindung überwachen, um sie ausnutzen zu können." * Nicht unbedingt, abhängig von Ihrem Schwellenwert für die Ausnutzung.Der HTTP-Referer-Header (der normalerweise zusammen mit Anfragen nach zusätzlichen Ressourcen gesendet wird) wird gelöscht, da es sich um HTTP und nicht um HTTPS handelt und leicht Informationen verlieren können (sicherlich welche Seite Sie gerade betrachten).Lesen Sie [BCP 188 = RFC 7258] (https://tools.ietf.org/html/rfc7258).
@MichaelKjörling Dies ist wahrscheinlich auch ein Grund dafür, dass der IE nicht zu streng ist - weder Cookies noch Referer werden für gemischte Inhalte durchgesickert.Möglicherweise können Sie solche Ressourcen weiterhin nutzen, um den Benutzer irrezuführen (z. B. indem Sie das Erscheinungsbild der Schaltflächen "Ja" und "Nein" in einem Bestätigungsdialogfeld ändern), aber es ist sicher, solange die Ressource nicht wichtig ist.Natürlich hat der Browser keine Ahnung, ob es wichtig ist oder nicht, daher kann zwischen "dummer IE, zeigt keinen harmlosen Inhalt" und "dummer IE, gemischter Inhalt erlaubt" gewählt werden: D.
thel3l
2017-01-10 22:05:01 UTC
view on stackexchange narkive permalink

Dies bedeutet, dass Ihre Daten und (der größte Teil) des Inhalts der Site zwar über einen SSL-Tunnel gesendet wurden, die Site jedoch Bilder über einen unverschlüsselten Tunnel geladen hat. Dies ist in den meisten Fällen kein großes Problem, obwohl es vom Entwickler unbedingt behoben werden sollte.

Allerdings - "Soll ich mich anmelden ..." - In den meisten Fällen (und in Ihren Fällen) ist es sicher Ihre Daten werden weiterhin über den verschlüsselten Tunnel gesendet.

Was Sie hier verstehen müssen, ist, dass einige Ressourcen (wie Bilder oder Skripte) über HTTP geladen wurden und das ist das Problem:

| HTTPS | ------> | Der größte Teil der Seite | ---> | Kann vom Angreifer nicht bearbeitet werden |

| HTTP | -------> | Einige Ressourcen | ---> | Kann vom Angreifer bearbeitet werden |

simhumileco
2018-01-03 18:29:33 UTC
view on stackexchange narkive permalink

Wenn Sie das Vorhängeschloss nicht sehen, können Sie den Grund überprüfen auf:

Warum kein Vorhängeschloss?

Dieser Dienst ermöglicht Abfrageparameter und funktioniert auch mit E-Commerce-Websites wie ShopSite, Magento, WooCommerce.

Dies hilft mir sehr, insbesondere bei der Diagnose einer Website.

Luaan
2017-01-12 18:34:21 UTC
view on stackexchange narkive permalink

Nur zur Erweiterung auf der Internet Explorer / Edge-Seite:

  • Die Site scheint auf den ersten Blick nicht unsicher zu sein, und der unsichere Inhalt scheint auch nicht hervorgehoben zu sein
  • Es wird ein Sicherheitsfehler an die Konsole ausgegeben ("Die HTTPS-Sicherheit wird durch <url> gefährdet")
  • Sie können sie so konfigurieren, dass gemischte Inhalte immer abgelehnt werden
  • Gemischt aktiver Inhalt wird vollständig abgelehnt - keine Warnung "Website ist unsicher", der unsichere aktive Inhalt wird einfach nicht ausgeführt.

Der IE ist sich also der Auswirkungen voll bewusst. Sie werden jedoch höchstwahrscheinlich als unkritisch eingestuft - Informationen werden nicht über die Grenze übertragen, und Bilder sind keine aktiven Inhalte (obwohl möglicherweise immer noch ein Angriffsvektor vorhanden ist, wie bei der alten WMF-Sicherheitsanfälligkeit). Dies bedeutet immer noch, dass Ihnen Daten bereitgestellt werden können, die nicht zuverlässig (oder verschlüsselt) sind. Die Argumentation lautet wahrscheinlich: "Wenn es wichtig wäre, würde es sich um HTTPs handeln. Die Site versucht wahrscheinlich nur, die CPU für statische Inhalte zu sparen." ".

Kann dies weiterhin für Exploits verwendet werden? Sicher. Wenn Ihre "Ja" - und "Nein" -Schaltflächen beispielsweise Bilder sind, die über HTTP transportiert werden, kann ein (MITM-) Angreifer sie wechseln, sodass Sie einen Dialog bestätigen, den Sie ablehnen möchten. Dies kann besonders problematisch sein, wenn die Website URLs zulässt, die nach etwas wie "Möchten Sie Ihr gesamtes Geld an Mr. Hacker senden?" Fragen. Es ist jedoch nur dann ein Problem, wenn der Inhalt selbst wichtig ist - vertraulich, sicherheitskritisch und dergleichen. Und natürlich kann der Browser nicht wissen, ob eine bestimmte Ressource wichtig ist oder nicht - nur der Entwickler (und die Leute machen Fehler).

Es scheint, dass die Ausgabe der Warnung eine gute Sicherheitsmaßnahme ist, aber das ist nicht unbedingt der Fall. Wenn Sie auf der Hälfte der Seiten, auf die Sie gehen, dieselbe Warnung sehen, verliert sie ihre Wirkung vollständig - die Leute werden nur lernen, sie zu ignorieren (genau wie beim ersten Mal, als der IE Sie gefragt hat, ob Sie das Senden unsicherer Inhalte zulassen möchten, Sie einfach aktiviert "Frag mich nicht noch einmal" und erlaubte es, ohne es zu merken - es ist das erste, was IE dich fragt, wenn du versuchst, Formulardaten jeglicher Art über HTTP zu posten. Sie wählen also wirklich zwischen zwei Fehlern, wie es normalerweise bei jedem nicht trivialen Design der Fall ist - in diesem Fall ein falsches Negativ gegenüber einem falsch positiven.

zwol
2017-01-12 02:21:11 UTC
view on stackexchange narkive permalink

"Nicht vollständig sicher" beschreibt Chrome auch Websites, die Verschlüsselungsalgorithmen verwenden, die nicht mehr als vollständig sicher gelten, aber zu weit verbreitet sind, um vollständig deaktiviert zu werden. Derzeit ist der einzige derartige Algorithmus SHA-1, und sie planen, diesen in diesem Monat (mit der Veröffentlichung von Version 56) auszuschalten, aber er könnte in Zukunft wieder auftauchen. P. >

Mike Willis
2017-02-07 23:44:41 UTC
view on stackexchange narkive permalink

Ich denke, es ist erwähnenswert, dass Chrome Ihnen diese Nachricht auch dann sendet, wenn auf Ihrer Seite ein form -Tag mit einer nicht sicheren -Aktion vorhanden ist. Chrome hat mir gerade diese Meldung angezeigt:

Ihre Verbindung zu dieser Website ist nicht vollständig sicher.

Angreifer können möglicherweise die Bilder sehen, die Sie sehen Schauen Sie sich diese Site an und betrügen Sie sie, indem Sie sie ändern.

Dies kann Sie in die völlig falsche Richtung weisen, wenn das Problem tatsächlich ein Formular mit ist eine nicht sichere Aktion .

Das ist also gut:

  <form action = "https://www.example.com/ Whatever.php ">  

und das ist schlecht:

  <form action =" http://www.example.com/whatever.php ">  

Sie haben noch keinen Inhalt von http://www.example.com/whatever.php angefordert, aber wenn Ihr Benutzer sendet das Formular, es ist nicht sicher, daher die Warnung von Chrome.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...