web-dev-qa-db-fra.com

Comment un contenu mixte peut-il compromettre une session HTTPS entière?

Google Chrome est probablement l'un des navigateurs les plus stricts en ce qui concerne la mise en évidence des erreurs SSL.

La plupart des navigateurs signalent lorsque vous consultez une page HTTPS qui charge des images non sécurisées/Javascript. Je comprends en quoi il s’agit d’un problème de sécurité: un attaquant aurait pu modifier le contenu non SSL de manière à lui donner accès au contenu sécurisé. injecté du javascript par exemple.

Toutefois, une fois que vous avez visualisé une page HTTPS avec un contenu mixte, Google Chrome continue de vous montrer l'avertissement de contenu mixte (une ligne rouge passant par la mention "https: //") tant que vous continuez à naviguer de la même manière. domaine, même pour les pages suivantes qui n'incluent que d'autres ressources HTTPS. Ce n'est que lorsque vous accédez à un autre domaine ou ouvrez un nouvel onglet que vous êtes à nouveau en sécurité.

Quel est le danger que cela vous protège d'ici? Comment un contenu mixte sur une page précédente pourrait-il réellement affecter la sécurité des pages sécurisées suivantes? Je comprends que le contenu mixte doit être signalé, mais il doit y avoir une raison spécifique pour laquelle Google persiste cet avertissement, autre que "Eh bien, vous devez encore savoir à ce sujet "

4
Gareth

Le plus gros problème de l’utilisation de contenu mixte est que (sans l’empêcher explicitement) des cookies sont envoyés aux deux demandes. Cela signifie qu'un cookie de session devant être utilisé avec une connexion HTTPS sécurisée sera également envoyé à une demande de page HTTP non sécurisée, voire à une demande d'image.

Si un attaquant peut lire ce cookie de session, il peut accéder au site avec les mêmes privilèges que vous (si vous êtes connecté, il est également connecté). Cela n'aide pas que vous retourniez à HTTPS uniquement, car la session est déjà piratée.

3
martinstoeckli