2Jul
Met alle problemen die je tegenkomt op internet, is het altijd een goed idee om een zo veilig mogelijke verbinding te hebben. Maar wat doe je als er in je browser staat dat een beveiligde website niet volledig beveiligd is? De SuperUser Q & A-post van vandaag heeft het antwoord op de vraag van een bezorgde lezer.
De vraag van vandaag &Antwoord sessie komt naar ons met dank aan SuperUser-een onderverdeling van Stack Exchange, een community-gestuurde groepering van Q & A-websites.
De vraag
SuperUser-lezer David Starkey wil weten waarom zijn browser zegt dat een beveiligde website niet volledig beveiligd is:
Ik gebruikte Pandora via SSL en merkte een paar pictogrammen op via de URL.De eerste is dit uitroepteken in een driehoek, waarmee wordt aangegeven dat de pagina niet volledig beveiligd is.
Ernaast is een schild. Deze zegt dat inhoud die niet beveiligd is geblokkeerd is.
Deze verklaringen lijken mij, althans voor mij, tegen te spreken. Kan iemand me dit uitleggen? Is mijn verbinding veilig of niet? Ik gebruikte de Pandora-website met Firefox 30.0 op Windows 7. Ik heb ook HTTPS Everywhere geïnstalleerd.
Wat is hier aan de hand? Is de verbinding van David met de Pandora-website veilig of niet?
Het antwoord
SuperUser contributor redburn heeft het antwoord voor ons:
Dit wordt een "gemengde inhoud" -pagina genoemd. Vanuit het Mozilla Developer Network( Mixed Content):
- Als de HTTPS-pagina inhoud bevat die is opgehaald via reguliere, cleartext HTTP, dan is de verbinding slechts gedeeltelijk gecodeerd: de niet-versleutelde inhoud is toegankelijk voor sniffers en kan worden aangepast door man-in-the-backmiddelste aanvallers, en daarom is de verbinding niet meer beveiligd. Wanneer een webpagina dit gedrag vertoont, wordt dit een gemengde inhoud -pagina genoemd.
De verklaringen zijn niet tegenstrijdig, maar complementair en misschien een beetje verwarrend. De eerste zegt dat de pagina zelf niet volledig beveiligd is omdat deze niet-versleutelde elementen bevat( alle webbrowsers zullen u hiervan op de hoogte stellen), terwijl de tweede merkt dat deze elementen automatisch door Firefox zijn geblokkeerd.
Als Firefox de niet-versleutelde elementen niet blokkeerde, dan zou strikt genomen de pagina niet beveiligd zijn.
HTTPS Everywhere biedt geen garantie voor een veilige verbinding. Het zal alleen proberen om HTTPS te forceren wanneer het beschikbaar is;als dit niet het geval is, kan een gebruiker of browser er niets aan doen zonder de onveilige inhoud te blokkeren.
Heeft u iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk de volledige discussiethread hier.