私の理解では、これは過度に用心深くなっている例にすぎませんが、私のチェックアウトフォームに安全でない資産が含まれていても、誰かのクレジットカード番号が中間者に捕まる危険はありません。
たまにキャッシュされたコンテンツなどが原因で、この「エラー」が表示されていると誰かが書いているので(私のページに安全でないアセットがない場合でも)説明を求めているので、これを尋ねています。
だから、はい、暗号化と証明書、信頼と中間者についてすべて話すことができます。しかし、私はこれについて彼らに何を伝えますか?サイトが100%安全であると彼らにどのように説得しますか(そしてそれが私が誤っていることを知らされていない場合!)
回答:
HTTPS経由で提供されるページがHTTP経由でスクリプト、CSS、またはプラグインリソースをロードすると、「混合スクリプト」の脆弱性が発生します。中間者攻撃者(同じワイヤレスネットワーク上の誰かなど)は、通常、HTTPリソースのロードを傍受し、リソースをロードしているWebサイトへのフルアクセスを取得できます。WebページがHTTPSをまったく使用していなかった場合と同じくらいよくありません。
http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html
セキュリティ研究者や多くのWeb開発者は、脅威をよく理解し、明確に表現しています。混合コンテンツの脆弱性を介してユーザーを攻撃する簡単な3つのステップがあります…
1)中間者攻撃を設定します。これらは、喫茶店や空港などの公共ネットワークで最も簡単に実行できます。
2)混合コンテンツの脆弱性を使用して、悪意のあるJavaScriptファイルを挿入します。悪意のあるコードは、ユーザーがブラウザでアクセスするHTTPS Webサイトで実行されます。重要な点は、HTTPSサイトに混合コンテンツの脆弱性があることです。これは、HTTPS経由でダウンロードされたコンテンツを実行することを意味します。これは、中間者攻撃と混合コンテンツの脆弱性が組み合わさって危険なシナリオになる場所です。
「一部の攻撃者がJavascriptまたはスタイルシートファイルを改ざんできる場合、彼は効果的にページ上の他のコンテンツも改ざんできます(たとえば、DOMを変更することにより)。ですから、それは全部かゼロかです。すべての要素がSSLを使用して提供される場合は、安全です。または、プレーンHTTP接続からJavascriptまたはスタイルシートファイルをロードすると、もう安全ではなくなります。」-me
3)ユーザーのIDを盗む(または他の悪いことをする)。
http://ie.microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1
関連質問:https : //stackoverflow.com/questions/3778819/browser-mixed-content-warning-whats-the-point