Que signifie cet avertissement Https - "pas entièrement sécurisé"?

L'avertissement signifie que certains éléments passifs de la page (les éléments passifs sont des éléments tels que des images, des vidéos, du son, etc.) ont été chargés via une connexion non sécurisée. Aucun contenu actif, c'est-à-dire un contenu qui pourrait accéder à votre nom d'utilisateur ou mot de passe (principalement des scripts, mais également des iframes), n'a été chargé via une connexion non sécurisée, donc entrer votre mot de passe sur cette page est aussi sûr que si le message d'avertissement n'était pas là .

Il y a deux raisons pour lesquelles les navigateurs vous avertissent du contenu mixte passif. L'évident est qu'un attaquant pourrait remplacer les images non sécurisées par autre chose. Le risque le plus subtil est que si un attaquant peut voir quelles images sont chargées sur la page, il pourrait être en mesure de les corréler avec les pages du site qui chargent ces images, et de les utiliser pour déterminer la page du site que vous consultez . Dans votre cas, cela n'a pas d'importance, mais pour certains sites, le HTTPS est utilisé en partie pour empêcher un espion de déterminer quelle partie d'un site vous consultez.

Si la page a été chargée via HTTPS et qu'il y a un contenu actif mixte, ce qui signifie qu'il ne serait pas sûr d'entrer votre mot de passe, votre navigateur bloquera automatiquement le script, donc ce n'est pas un risque. Si vous décidez que vous voulez le script, il marque très clairement le site comme étant non sécurisé.

Avant de charger le contenu dangereux:

Après avoir cliqué sur "Charger des scripts non sécurisés":

Pourvu que l'URL commence https:// et il n'y a aucun avertissement de sécurité bien visible, il est sûr d'entrer votre mot de passe.

Cela signifie que la page Web n'affiche pas tout son contenu sur le protocole https. Il comporte certaines parties utilisant http. Le contenu mixte n'est pas bon et cela génère l'avertissement que vous voyez sur les navigateurs car une partie du contenu peut être visualisée en clair.

Peut-être que certaines images externes chargées comme <img src="http://somewhere.net"> ou du javascript, css ou autre.

Microsoft Edge est trop confiant, je pense. :)

Si vous ne voyez pas le cadenas, vous pouvez vérifier la raison sur:

Pourquoi pas de cadenas?

Ce service permet des paramètres de requête et fonctionne également avec des sites Web de commerce électronique tels que ShopSite, Magento, WooCommerce.

Cela m'aide beaucoup, surtout lors du diagnostic d'un site Web.

Le site charge du contenu mixte, certains contenus tels que les images et les CSS seront chargés sur un canal non sécurisé tandis que le contenu du site principal est diffusé via HTTPS. C'est souvent le cas lorsque le style/les images sont extraits des CDN.

En théorie, les éléments non sécurisés pourraient être l'homme du milieu et modifiés à votre insu pour servir du contenu malveillant.

Chrome vous avertit de ces types de problèmes plus que les autres navigateurs et il est bon d'être prudent. Si vous avez déjà fait confiance à ce site et qu'il est réputé, il est probablement sûr de continuer. Si vous ne l'avez jamais vu auparavant pour un site de confiance, vous souhaiterez peut-être informer les développeurs de ce qui s'est passé.

N'oubliez pas que cela nécessiterait un attaquant actif pour surveiller votre connexion afin de pouvoir exploiter cette vulnérabilité.

Cela signifie que bien que vos données et (la plupart) du contenu du site aient été envoyées via un tunnel SSL, le site a chargé des images via un tunnel non chiffré. Ce n'est pas un problème majeur dans la plupart des cas, mais c'est un problème que le développeur devrait définitivement résoudre.

Cependant - "Dois-je me connecter ..." - Dans la plupart des cas (et dans le vôtre), vous pouvez vous connecter en toute sécurité. Vos données seront toujours envoyées via le tunnel crypté.

Ce que vous devez comprendre ici, c'est que certaines ressources (telles que des images ou des scripts) ont été chargées via HTTP, et c'est le problème:

| HTTPS | ------> | La plupart de la page | ---> | Ne peut pas être modifiée par l'attaquant |

| HTTP | -------> | Certaines ressources | ---> | Peut être modifié par l'attaquant |

Pour développer du côté d'Internet Explorer/Edge:

• Le site ne semble pas non sécurisé à première vue, et le contenu non sécurisé ne semble pas non plus être mis en évidence
• Il affiche une erreur de sécurité sur la console ("La sécurité HTTPS est compromise par <url>")
• Vous pouvez les configurer pour toujours rejeter le contenu mixte
• Mixte actif le contenu est entièrement rejeté - pas d'avertissement "site Web non sécurisé", le contenu actif non sécurisé ne fonctionne tout simplement pas.

Donc IE est pleinement conscient des implications, mais les considère très probablement comme non critiques - les informations ne sont pas divulguées au-delà de la frontière, et les images ne sont pas du contenu actif (bien qu'il puisse toujours y avoir un vecteur d'attaque, comme avec l'ancienne vulnérabilité WMF) .Cela signifie toujours que vous pouvez recevoir des données qui ne sont pas fiables (ou chiffrées) - le raisonnement est probablement du type "si c'était important, ce serait sur HTTPs; le le site tente probablement d'économiser du CPU sur du contenu statique ".

Peut-il encore être utilisé pour des exploits? Sûr. Par exemple, si vos boutons "oui" et "non" sont des images transportées via HTTP, un attaquant (MITM) pourrait les commuter, afin que vous confirmiez une boîte de dialogue que vous vouliez rejeter. Cela pourrait être particulièrement problématique si le site Web autorise les URL qui demandent quelque chose comme "Voulez-vous envoyer tout votre argent à M. Hacker?" Mais ce n'est un problème que si le contenu lui-même est important - confidentiel, critique pour la sécurité, etc. Et bien sûr, le navigateur n'a aucun moyen de savoir si une ressource particulière est importante ou non - seul le développeur le fait (et les gens font des erreurs).

Il peut sembler que l'émission de l'avertissement est une bonne mesure de sécurité, mais ce n'est pas nécessairement le cas. Si vous voyez le même avertissement sur la moitié des pages que vous visitez, cela va complètement perdre son effet - les gens apprendront simplement à l'ignorer (tout comme la première fois IE vous a demandé si vous voulez autoriser l'envoi de contenu non sécurisé, vous avez juste coché "Ne plus me demander" et vous l'avez autorisé, sans même vous en rendre compte - c'est la première chose IE vous demande quand vous essayez de publier des données de formulaire de toute sorte sur HTTP). Vous choisissez donc vraiment entre deux défauts, comme c'est généralement le cas avec tout design non trivial - dans ce cas, un faux négatif par rapport à un faux positif.

Je pense qu'il vaut la peine de souligner que Chrome vous donnera également ce message s'il y a une balise form sur votre page avec un action non sécurisé. Chrome vient de m'afficher ce message:

Votre connexion à ce site n'est pas entièrement sécurisée

Les attaquants pourraient voir les images que vous regardez sur ce site et vous tromper en les modifiant.

Cela peut vous orienter complètement dans la mauvaise direction si le problème est en fait un form avec un action non sécurisé.

Donc, c'est bien:

<form action="https://www.example.com/whatever.php">

et c'est mauvais:

<form action="http://www.example.com/whatever.php">

Vous n'avez pas encore demandé de contenu à http://www.example.com/whatever.php, mais si votre utilisateur soumet le formulaire, il ne sera pas sécurisé, d'où Avertissement de Chrome.

"Pas entièrement sécurisé" est également la façon dont Chrome décrit les sites Web qui utilisent des algorithmes de chiffrement qui ne sont plus considérés comme entièrement sûrs, mais qui sont trop répandus pour être complètement désactivés. Actuellement, le seul algorithme de ce type est - SHA-1 , et ils prévoient de désactiver celui-ci ce mois-ci (avec la sortie de la version 56), mais cela pourrait se reproduire à l'avenir.