Предупреждение о смешанном контенте в браузере - какой смысл?

Question

Я использую API карт Google на своем сайте, защищенном SSL. Поэтому я неизменно получаю одно из этих ужасных предупреждений о «смешанном контенте» из моего веб-приложения. Это раздражает. Я понимаю, что эта проблема может быть исправлена, когда при переносе приложения в рабочий режим я регистрируюсь в главной учетной записи Google. Ура. Я просто озадачен: угроза со стороны Google для целостности моего сайта остается неизменной, независимо от того, опускаю ли я их контент через HTTP или HTTPS. Другими словами, какой смысл браузерам выводить это предупреждение?

Спасибо.

Answer 1

Угроза со стороны Google может остаться прежней, но когда вы загружаете контент Google через http, вам нужно беспокоиться не только об угрозах от Google;вам также нужно беспокоиться об атаках «человек посередине», когда кто-то притворяется Google и внедряет вредоносный контент в вашу страницу.Учитывая количество людей, использующих ненадежные или небезопасные беспроводные сети, в наши дни не так уж сложно запустить человека в середине атаки.

Кроме того, https должен защищать информацию, идущую в обоих направлениях.Если на странице есть контент, не защищенный через https, но пользователь видит https в адресе и значке блокировки, он может полагать, что введенная информация защищена от перехватчиков, хотя на самом деле часть информации передается в открытом виде.

Answer 2

угроза со стороны Google для целостности моего сайта остается неизменной, независимо от того, снимаю ли я их содержимое через HTTP или HTTPS

Я думаю, что вы используете неправильную модель угрозы здесь. Существует угроза , а не , что Google может действовать злонамеренно и отправлять неправильные данные вашим пользователям. Действительно, SSL не защитит от этого.

Реальная угроза заключается в том, что посредник (между вашими пользователями и Google) может подслушивать незащищенные данные, чтобы определить, что делают ваши пользователи, или даже изменить незащищенный контент, чтобы обмануть их.

Обязанность браузера - каким-то образом информировать пользователя о том, что такие атаки возможны. В противном случае пользователь будет ошибочно думать, что все безопасно, потому что он ввел адрес «https».

Answer 3

Причина, по которой существует это сообщение, заключается в том, что любое HTTPS-соединение обслуживается через SSL, поэтому браузер знает, что поступающие на него данные действительно являются точными данными, отправленными с сервера.для любых компонентов, которые были доставлены через HTTP - это может изменить компоненты, которые были доставлены через SSL, поэтому гарантия правильности данных HTTPS не может быть поддержана.

Вот почему появляется предупреждение.