我在我的SSL保護網站上使用Google地圖API。因此,我總是從我的web應用程序中彈出一個可怕的「混合內容」警告。這很煩人。我明白,當將應用程序投入生產時,我可以解決此問題,我會向Google註冊一個首要帳戶。歡呼。我只是感到困惑:無論我通過HTTP還是HTTPS下載內容,Google對我站點完整性的威脅都保持不變。換句話說,瀏覽器提出這個警告有什麼意義?瀏覽器混合內容警告 - 有什麼意義?
謝謝。
我在我的SSL保護網站上使用Google地圖API。因此,我總是從我的web應用程序中彈出一個可怕的「混合內容」警告。這很煩人。我明白,當將應用程序投入生產時,我可以解決此問題,我會向Google註冊一個首要帳戶。歡呼。我只是感到困惑:無論我通過HTTP還是HTTPS下載內容,Google對我站點完整性的威脅都保持不變。換句話說,瀏覽器提出這個警告有什麼意義?瀏覽器混合內容警告 - 有什麼意義?
謝謝。
此消息存在的原因是任何HTTPS連接都通過SSL提供服務,因此瀏覽器知道進入的數據確實是從服務器發送的確切數據。
通過HTTP傳遞的任何組件都不是這種情況 - 這些組件可能會更改通過SSL提供的組件,因此無法保證HTTPS數據的正確性。
這就是警告出現的原因。
從谷歌到我的網站的完整性的威脅仍然是相同的我是否拉下他們通過HTTP或HTTPS
我覺得你用錯了threat model這裏的內容。威脅是而不是谷歌可能會採取惡意行爲並將錯誤的數據發送給您的用戶。事實上,SSL不會防止這種情況發生。
實際的威脅是,中間的人(您的用戶和谷歌之間)可能會竊聽未受保護的數據,以確定您的用戶需要做什麼,甚至修改未受保護的內容以欺騙他們。
瀏覽器有責任以某種方式通知用戶這種攻擊是可能的。否則,用戶會錯誤地認爲一切都是安全的,因爲他輸入了「https」地址。
來自Google的威脅可能會保持不變,但當您通過http加載Google內容時,您不必擔心來自Google的威脅;您還需要擔心中間人攻擊,其中有人僞裝成Google,並將惡意內容注入到您的頁面中。由於使用不受信任或不安全的無線網絡的人數衆多,現在在中間人攻擊中發起攻擊並不難。
另外,https應該保護雙向信息。如果網頁上的內容未通過https保護,但用戶在地址和鎖定圖標中看到https,則他們可能認爲他們輸入的信息對於竊聽者是安全的,事實上,某些信息以明文傳輸。
「Google的威脅可能保持不變」 - 這是關鍵。如果我切換到HTTPS進行混搭,那麼瀏覽器會很安靜,但用戶信息可能仍會泄露給Google。換句話說,在抑制瀏覽器警告時,HTTPS會產生虛假的安全感。 – Ollie2893 2010-09-23 15:16:14
@ Ollie2893 HTTPS當然不能解決所有的安全問題;即使使用HTTPS(跨站點腳本,與您通話的惡意或無能的服務器,釣魚攻擊等),仍然存在各種各樣的威脅。警告的原因是,即使HTTPS應該提供的保證,也就是說,您的數據將被加密到服務器,並且來自服務器的內容是真實的,但一旦混合HTTP和HTTPS內容。 – 2010-09-23 15:37:39
我不確定在編寫時使用了錯誤的「線程模型」。從你的回答中可以看出,你比任何中間人都更相信谷歌。我認爲任何混搭第三方小部件的應用程序都比第三方更容易受到第三方的影響。 – Ollie2893 2010-09-23 14:52:03
@ Ollie2893:當您決定使用他們的地圖API時,您已經選擇信任谷歌。聲稱你不相信他們是荒謬的;你爲什麼要故意讓你的Web應用程序對攻擊者開放? – 2010-09-23 15:25:45
我寫了自己的地圖API(這是浪費時間;我不在地圖製作業務),我必須使用外部提供者。我不會讀到我使用Google信任的API。 Google的企業文化充其量是隱私的矛盾。只要想一想地圖API是一個美妙的木馬。不幸的是,我想不出一種沙盒的方式。 – Ollie2893 2010-09-24 12:42:22