मैं SSL के माध्यम से पेंडोरा तक पहुँच रहा हूँ और URL द्वारा कुछ आइकन देख रहा हूँ। पहले एक त्रिकोण में विस्मयादिबोधक बिंदु है, यह दर्शाता है कि पृष्ठ पूरी तरह से सुरक्षित नहीं है:
इसके आगे एक ढाल है? यह एक ऐसी सामग्री है जो सुरक्षित नहीं है अवरुद्ध है।
कम से कम मेरे लिए, ये कथन, विपरीत प्रतीत होते हैं। क्या कोई मुझे ये समझा सकता है? मेरा कनेक्शन सुरक्षित है या नहीं?
विंडोज 7 पर फ़ायरफ़ॉक्स 30.0 के माध्यम से पहुँचा। मेरे पास एचटीटीपीएस एवरीवेयर भी स्थापित है।
जवाबों:
इसे "मिश्रित सामग्री" पृष्ठ कहा जाता है।
यदि HTTPS पेज में नियमित, क्लीयरटेक्स्ट HTTP के माध्यम से प्राप्त सामग्री शामिल है, तो कनेक्शन केवल आंशिक रूप से एन्क्रिप्ट किया गया है: अनएन्क्रिप्टेड सामग्री स्निफर्स के लिए सुलभ है और इसे मैन-इन-द-मिडल हमलावरों द्वारा संशोधित किया जा सकता है, और इसलिए कनेक्शन अब सुरक्षित नहीं है। ।
https://developer.mozilla.org/en-US/docs/Security/MixedContent
बयान विरोधाभासी नहीं हैं, लेकिन पूरक हैं; और शायद थोड़ा भ्रमित। पहला कहता है कि पृष्ठ स्वयं पूरी तरह से सुरक्षित नहीं है क्योंकि इसमें अनएन्क्रिप्टेड तत्व हैं (सभी वेब ब्राउज़र आपको इसके बारे में सूचित करेंगे), जबकि दूसरा नोट कि ये तत्व फ़ायरफ़ॉक्स द्वारा स्वचालित रूप से अवरुद्ध कर दिए गए हैं।
अगर फ़ायरफ़ॉक्स अनएन्क्रिप्टेड तत्वों को ब्लॉक नहीं करेगा, तो सख्ती से पृष्ठ को सुरक्षित नहीं किया जाएगा।
(HTTPS एवरीवेयर हर जगह एक सुरक्षित कनेक्शन की गारंटी नहीं देता है। यह उपलब्ध होने पर केवल HTTPS को बाध्य करने की कोशिश करेगा; यदि ऐसा नहीं है, तो ऐसा कुछ भी नहीं है जो उपयोगकर्ता / ब्राउज़र इसके बारे में कर सकते हैं लेकिन असुरक्षित सामग्री को ब्लॉक कर सकते हैं।)
एक विशिष्ट वेब पेज विभिन्न धाराओं के बहुत से लोड किया जाएगा। कुछ स्ट्रीम, जैसे कि चित्र, HTTPS का उपयोग करके लोड किए जा सकते हैं लेकिन कुछ शायद HTTP द्वारा लोड किए गए हैं।
पाठ केवल यह कह रहा है कि HTTP से लोड होने वालों को ब्लॉक कर दिया जाएगा। यदि आप पृष्ठ के स्रोत को देखते हैं तो आप शायद देखेंगे कि कुछ सामग्री HTTP के रूप में संदर्भित है।
जब आप HTTP पर किसी वेबसाइट पर जाते हैं, तो आपका कनेक्शन ईव्सड्रॉपिंग और मैन-इन-द-मिड (MiTM) हमलों के प्रति संवेदनशील होता है। वे साइटें जो संवेदनशील जानकारी को आगे-पीछे नहीं करती हैं (व्यक्तिगत पहचान योग्य जानकारी, सामाजिक सुरक्षा नंबर, क्रेडिट कार्ड, आदि)। जब आप किसी ऐसे पृष्ठ पर जाते हैं जो HTTPS (जैसे कि PayPal और वित्तीय संस्थानों) में पूरी तरह से परोसा जाता है, तो आपका कनेक्शन प्रमाणित और एन्क्रिप्टेड होता है। हालाँकि, जब कोई वेबसाइट HTTP कंटेंट के साथ-साथ HTTPS से अधिक कंटेंट होस्ट करती है, तो इसे आमतौर पर मिक्स्ड कंटेंट पेज / साइट के रूप में जाना जाता है। अधिकांश ब्राउज़र, जैसे फ़ायरफ़ॉक्स, स्वचालित रूप से उस सामग्री को ब्लॉक कर देगा जो सुरक्षित नहीं है। अधिकांश पृष्ठ अभी भी ठीक से प्रदर्शित होंगे और आप अभी भी साइट के सुरक्षित हिस्से को ब्राउज़ कर पाएंगे।
तो क्या आप सुरक्षित हैं या सुरक्षित नहीं हैं? जैसा कि हम इंटरनेट ब्राउज़ करते समय कभी भी पूरी तरह से सुरक्षित नहीं होते हैं; मुझे लगता है कि यह कहना सुरक्षित है कि आपका सत्र "सुरक्षित" है या उतना ही सुरक्षित है जितना कि उपयोगकर्ता के अंत से प्राप्त होने वाला है।
मुझे लगता है कि मैंने आपके सवाल का जवाब दे दिया है।