Помогите с уязвимостью SSL (смешанный контент)?

Question

Привет, ребята, у меня есть свой собственный веб-сервер, на котором размещен веб-сайт, на котором я недавно установил / установил самозаверяющий сертификат SSL. Казалось, что защита сайта прошла нормально, но в Firefox и IE я иногда получаю всплывающие окна, которые говорят что-то вроде «На этой странице есть смесь безопасной и небезопасной информации ...» и в консоли ошибок Firefox это говорит что-то о возможной подверженности уязвимости SSL (CVE-2009).

1. Это действительно уязвимость, о которой я должен беспокоиться?
2. Кто-нибудь знает, что может быть причиной проблемы / как я могу исправить то, что вызывает проблему?

Answer 1

По сути, вы предоставляете HTTP-контент где-то на странице, будь то изображение, файл CSS или что-то еще. Один из самых хороших способов исправить это - использовать относительные URL протокола; они имеют форму

"//example.com/image.gif"

например

<img src="//example.com/image.gif" />

Это приводит к загрузке ресурсов с использованием протокола, который имеет страница размещения, http, если это http, https, если это https.

Fiddler отлично подходит для отслеживания этих вещей , поскольку протокол для ресурсов четко показан в пользовательском интерфейсе;

альтернативный текст http://www.enhanceie.com/images/blog/IEBlogX-fiddler.png

Answer 2

предупреждение о смешанном контексте вызывается загрузкой некоторого контента (изображений, сценариев, CSS, iframes, ...) с использованием http.Самый простой способ найти их - открыть представление исходного кода в браузере и выполнить поиск «http://".

». Это действительно проблема безопасности: если злоумышленник может манипулировать файлом сценария или CSS, он может изменить любую частьвашей страницы (например, изменить цель формы входа в систему). И даже изображения являются проблемой, потому что они могут отображать инструкции, вводящие пользователя в заблуждение.

Я полагаю, что вы имеете в виду CVE-2009-3555: Этоне относится к предупреждению о смешанном контенте. И вы можете пока игнорировать его, предполагая, что ваш веб-сервер использует самые последние обновления безопасности:

К сожалению, при использовании текущей, некорректной версии протокола SSL / TLS, онневозможно определить, является ли сайт защищенным или уязвимым.

https://wiki.mozilla.org/Security:Renegotiation

Answer 3

Это может быть проблема безопасности.См. http://www.sslshopper.com/article-stop-the-page-contains-secure-and-nonsecure-items-warning.html для получения информации о том, как это исправить.

Answer 4

Еще один хороший способ изолировать запросы HTTP и HTTPS - через fiddler - вы должны сразу увидеть, какие файлы, если они есть, запрашиваются на вашем сайте без SSL.

Запросыдолжен иметь установленный заголовок HTTP REFERER, который может помочь выяснить, почему эти ресурсы запрашиваются по HTTP, а не по HTTPS.

Одна неясная проблема возникнет, если ваш веб-сайт использует IFRAME, где контент устанавливается привремя.Отсутствие содержимого в IFRAME (пустой тег источника) заставит IE думать, что это не ресурс, защищенный HTTPS, поэтому вы получите предупреждение, даже если на самом деле содержимое не было передано по HTTP.