web-dev-qa-db-fra.com

Que signifie cet avertissement Https - "pas entièrement sécurisé"?

Je suis allé me ​​connecter à un site Web aujourd'hui en utilisant Google Chrome et on m'a présenté l'erreur suivante:

enter image description here

Votre connexion à ce site n'est pas entièrement sécurisée

Les attaquants pourraient voir les images que vous regardez sur ce site et vous tromper en les modifiant

Lorsque j'ai cliqué sur le lien Détails Il dit ce qui suit

Le site comprend des ressources HTTP

Je n'ai jamais vu cet avertissement auparavant.

Que signifie cet avertissement en termes simples et dois-je me connecter au site Web avec mon nom d'utilisateur et mon mot de passe?

Extra:

Ouvrir la même page dans Microsoft Edge il prétend que le site Web est sécurisé

52
user1

En résumé, cela signifie que si le cœur de la page utilise https (sécurisé) pour obtenir ces informations sur votre ordinateur, cette page (sécurisée) fait référence à des éléments non sécurisés (comme des images et éventuellement des scripts).

Les attaquants ne peuvent pas modifier directement la page d'origine, mais ils peuvent modifier les éléments non sécurisés. S'il s'agit d'images, elles peuvent changer l'image. S'il s'agit de scripts, ils peuvent également les modifier. De cette façon, les attaquants pourraient changer ce que vous voyez, même si la page principale était "sécurisée".

Comme Michael Kjörling le fait remarquer dans les commentaires, cela expose également certaines de vos informations dans ces demandes - potentiellement des cookies (s'il s'agit du même site/correspond aux sites de cookies/le développeur n'a pas spécifié uniquement sécurisé), des référents, etc., qui va divulguer certaines informations sur ce que vous faites dans le meilleur des cas et au pire peut permettre certaines attaques.

Il s'agit d'une mauvaise pratique de la part du développeur Web - tous les éléments doivent utiliser un transport sécurisé.

Vous pouvez (potentiellement) améliorer votre propre situation en utilisant un plug-in de navigateur qui met automatiquement à jour toutes les demandes de http à https.

61
crovers

L'avertissement signifie que certains éléments passifs de la page (les éléments passifs sont des éléments tels que des images, des vidéos, du son, etc.) ont été chargés via une connexion non sécurisée. Aucun contenu actif, c'est-à-dire un contenu qui pourrait accéder à votre nom d'utilisateur ou mot de passe (principalement des scripts, mais également des iframes), n'a été chargé via une connexion non sécurisée, donc entrer votre mot de passe sur cette page est aussi sûr que si le message d'avertissement n'était pas là .

Il y a deux raisons pour lesquelles les navigateurs vous avertissent du contenu mixte passif. L'évident est qu'un attaquant pourrait remplacer les images non sécurisées par autre chose. Le risque le plus subtil est que si un attaquant peut voir quelles images sont chargées sur la page, il pourrait être en mesure de les corréler avec les pages du site qui chargent ces images, et de les utiliser pour déterminer la page du site que vous consultez . Dans votre cas, cela n'a pas d'importance, mais pour certains sites, le HTTPS est utilisé en partie pour empêcher un espion de déterminer quelle partie d'un site vous consultez.

Si la page a été chargée via HTTPS et qu'il y a un contenu actif mixte, ce qui signifie qu'il ne serait pas sûr d'entrer votre mot de passe, votre navigateur bloquera automatiquement le script, donc ce n'est pas un risque. Si vous décidez que vous voulez le script, il marque très clairement le site comme étant non sécurisé.

Avant de charger le contenu dangereux:

Chrome mixed active content warning

Après avoir cliqué sur "Charger des scripts non sécurisés":

Chrome with a Not Secure warning

Pourvu que l'URL commence https:// et il n'y a aucun avertissement de sécurité bien visible, il est sûr d'entrer votre mot de passe.

23
JackW

Cela signifie que la page Web n'affiche pas tout son contenu sur le protocole https. Il comporte certaines parties utilisant http. Le contenu mixte n'est pas bon et cela génère l'avertissement que vous voyez sur les navigateurs car une partie du contenu peut être visualisée en clair.

Peut-être que certaines images externes chargées comme <img src="http://somewhere.net"> ou du javascript, css ou autre.

Microsoft Edge est trop confiant, je pense. :)

6
OscarAkaElvis

Si vous ne voyez pas le cadenas, vous pouvez vérifier la raison sur:

Pourquoi pas de cadenas?

Ce service permet des paramètres de requête et fonctionne également avec des sites Web de commerce électronique tels que ShopSite, Magento, WooCommerce.

Cela m'aide beaucoup, surtout lors du diagnostic d'un site Web.

3
simhumileco

Le site charge du contenu mixte, certains contenus tels que les images et les CSS seront chargés sur un canal non sécurisé tandis que le contenu du site principal est diffusé via HTTPS. C'est souvent le cas lorsque le style/les images sont extraits des CDN.

En théorie, les éléments non sécurisés pourraient être l'homme du milieu et modifiés à votre insu pour servir du contenu malveillant.

Chrome vous avertit de ces types de problèmes plus que les autres navigateurs et il est bon d'être prudent. Si vous avez déjà fait confiance à ce site et qu'il est réputé, il est probablement sûr de continuer. Si vous ne l'avez jamais vu auparavant pour un site de confiance, vous souhaiterez peut-être informer les développeurs de ce qui s'est passé.

N'oubliez pas que cela nécessiterait un attaquant actif pour surveiller votre connexion afin de pouvoir exploiter cette vulnérabilité.

3
iainpb

Cela signifie que bien que vos données et (la plupart) du contenu du site aient été envoyées via un tunnel SSL, le site a chargé des images via un tunnel non chiffré. Ce n'est pas un problème majeur dans la plupart des cas, mais c'est un problème que le développeur devrait définitivement résoudre.

Cependant - "Dois-je me connecter ..." - Dans la plupart des cas (et dans le vôtre), vous pouvez vous connecter en toute sécurité. Vos données seront toujours envoyées via le tunnel crypté.

Ce que vous devez comprendre ici, c'est que certaines ressources (telles que des images ou des scripts) ont été chargées via HTTP, et c'est le problème:

| HTTPS | ------> | La plupart de la page | ---> | Ne peut pas être modifiée par l'attaquant |

| HTTP | -------> | Certaines ressources | ---> | Peut être modifié par l'attaquant |

3
thel3l

Pour développer du côté d'Internet Explorer/Edge:

  • Le site ne semble pas non sécurisé à première vue, et le contenu non sécurisé ne semble pas non plus être mis en évidence
  • Il affiche une erreur de sécurité sur la console ("La sécurité HTTPS est compromise par <url>")
  • Vous pouvez les configurer pour toujours rejeter le contenu mixte
  • Mixte actif le contenu est entièrement rejeté - pas d'avertissement "site Web non sécurisé", le contenu actif non sécurisé ne fonctionne tout simplement pas.

Donc IE est pleinement conscient des implications, mais les considère très probablement comme non critiques - les informations ne sont pas divulguées au-delà de la frontière, et les images ne sont pas du contenu actif (bien qu'il puisse toujours y avoir un vecteur d'attaque, comme avec l'ancienne vulnérabilité WMF) .Cela signifie toujours que vous pouvez recevoir des données qui ne sont pas fiables (ou chiffrées) - le raisonnement est probablement du type "si c'était important, ce serait sur HTTPs; le le site tente probablement d'économiser du CPU sur du contenu statique ".

Peut-il encore être utilisé pour des exploits? Sûr. Par exemple, si vos boutons "oui" et "non" sont des images transportées via HTTP, un attaquant (MITM) pourrait les commuter, afin que vous confirmiez une boîte de dialogue que vous vouliez rejeter. Cela pourrait être particulièrement problématique si le site Web autorise les URL qui demandent quelque chose comme "Voulez-vous envoyer tout votre argent à M. Hacker?" Mais ce n'est un problème que si le contenu lui-même est important - confidentiel, critique pour la sécurité, etc. Et bien sûr, le navigateur n'a aucun moyen de savoir si une ressource particulière est importante ou non - seul le développeur le fait (et les gens font des erreurs).

Il peut sembler que l'émission de l'avertissement est une bonne mesure de sécurité, mais ce n'est pas nécessairement le cas. Si vous voyez le même avertissement sur la moitié des pages que vous visitez, cela va complètement perdre son effet - les gens apprendront simplement à l'ignorer (tout comme la première fois IE vous a demandé si vous voulez autoriser l'envoi de contenu non sécurisé, vous avez juste coché "Ne plus me demander" et vous l'avez autorisé, sans même vous en rendre compte - c'est la première chose IE vous demande quand vous essayez de publier des données de formulaire de toute sorte sur HTTP). Vous choisissez donc vraiment entre deux défauts, comme c'est généralement le cas avec tout design non trivial - dans ce cas, un faux négatif par rapport à un faux positif.

2
Luaan

Je pense qu'il vaut la peine de souligner que Chrome vous donnera également ce message s'il y a une balise form sur votre page avec un action non sécurisé. Chrome vient de m'afficher ce message:

Votre connexion à ce site n'est pas entièrement sécurisée

Les attaquants pourraient voir les images que vous regardez sur ce site et vous tromper en les modifiant.

Cela peut vous orienter complètement dans la mauvaise direction si le problème est en fait un form avec un action non sécurisé.

Donc, c'est bien:

<form action="https://www.example.com/whatever.php">

et c'est mauvais:

<form action="http://www.example.com/whatever.php">

Vous n'avez pas encore demandé de contenu à http://www.example.com/whatever.php, mais si votre utilisateur soumet le formulaire, il ne sera pas sécurisé, d'où Avertissement de Chrome.

1
Mike Willis

"Pas entièrement sécurisé" est également la façon dont Chrome décrit les sites Web qui utilisent des algorithmes de chiffrement qui ne sont plus considérés comme entièrement sûrs, mais qui sont trop répandus pour être complètement désactivés. Actuellement, le seul algorithme de ce type est - SHA-1 , et ils prévoient de désactiver celui-ci ce mois-ci (avec la sortie de la version 56), mais cela pourrait se reproduire à l'avenir.

1
zwol