क्या वास्तव में एक ssl पेज पर गैर-सुरक्षित संपत्ति होना एक सुरक्षा समस्या है?

मेरी समझ यह है कि यह केवल अत्यधिक सतर्क होने का एक उदाहरण है, लेकिन अगर मेरे चेकआउट फॉर्म में एक असुरक्षित संपत्ति है, जो किसी के क्रेडिट कार्ड नंबर को एक आदमी द्वारा बीच में पकड़े जाने से खतरे में नहीं डालता है।

मैं यह इसलिए पूछ रहा हूं क्योंकि हर बार एक बार, शायद कैश्ड कंटेंट या व्हाट्सएप की वजह से, कोई व्यक्ति यह कहते हुए लिखता है कि वे इस "त्रुटि" को देख रहे हैं (भले ही मेरे पेज पर कोई असुरक्षित संपत्ति नहीं है), लेकिन वे एक स्पष्टीकरण चाहते हैं।

तो हां, मैं सभी एन्क्रिप्शन और प्रमाणपत्र और विश्वास और पुरुषों के बीच के बारे में बता सकता हूं। लेकिन मैं उन्हें इस बारे में क्या बताता हूं। मैं उन्हें कैसे समझाऊं कि साइट 100% सुरक्षित है (और अगर यह मुझे पता नहीं है कि मैं गलत हूँ!)

"मिश्रित स्क्रिप्टिंग" भेद्यता तब होती है जब एचटीटीपीएस से अधिक पृष्ठ पर एक स्क्रिप्ट, सीएसएस या HTTP पर प्लग-इन संसाधन लोड होता है। एक व्यक्ति-में-मध्य हमलावर (जैसे कि एक ही वायरलेस नेटवर्क पर कोई) आमतौर पर HTTP संसाधन लोड को रोक सकता है और संसाधन लोड करने वाली वेबसाइट तक पूरी पहुंच प्राप्त कर सकता है। यह अक्सर उतना ही बुरा होता है जितना कि वेब पेज ने HTTPS का उपयोग नहीं किया था।

http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html

सुरक्षा शोधकर्ताओं और कई वेब डेवलपर्स खतरे को अच्छी तरह से समझते हैं और स्पष्ट करते हैं। मिश्रित सामग्री भेद्यता के माध्यम से उपयोगकर्ता पर हमला करने के 3 आसान चरण हैं…

1) एक मध्य-मध्य हमले का सेट-अप करें। ये सार्वजनिक नेटवर्क पर सबसे आसानी से किए जाते हैं जैसे कि कॉफी शॉप या हवाई अड्डों पर।

2) दुर्भावनापूर्ण जावास्क्रिप्ट फ़ाइल को इंजेक्ट करने के लिए मिश्रित सामग्री भेद्यता का उपयोग करें। दुर्भावनापूर्ण कोड एक HTTPS वेबसाइट में चलेगा जो उपयोगकर्ता को ब्राउज़ करता है। मुख्य बिंदु यह है कि HTTPS साइट पर मिश्रित सामग्री भेद्यता है, जिसका अर्थ है कि यह HTTP पर डाउनलोड की गई सामग्री को निष्पादित करता है। यह वह जगह है जहां मैन-इन-द-मध्य हमला और मिश्रित सामग्री भेद्यता एक खतरनाक परिदृश्य में जोड़ती है।

“अगर कुछ हमलावर या तो जावास्क्रिप्ट या स्टाइलशीट फ़ाइलों के साथ छेड़छाड़ करने में सक्षम हैं, तो वह प्रभावी रूप से आपके पृष्ठ की अन्य सामग्री (जैसे DOM को संशोधित करके) के साथ भी छेड़छाड़ कर सकता है। तो यह सब या कुछ भी नहीं है। या तो आपके सभी तत्वों को एसएसएल का उपयोग करके परोसा जाता है, फिर आप सुरक्षित हैं। या आप कुछ HTTP या स्टाइलशीट फ़ाइलों को सादे HTTP कनेक्शन से लोड करते हैं, तो आप अब सुरक्षित नहीं हैं। ”- me

3) उपयोगकर्ता की पहचान चोरी (या अन्य बुरे काम)।

http://ie.microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1

संबंधित प्रश्न: /programming/3778819/browser-mixed-content-warning-whats-the-point