Noté que una página en particular que se publica a través de HTTPS recibe una advertencia de contenido inseguro tanto en Chrome como en Firefox. Esto parece ser porque la página tiene un ancla con una propiedad href que apunta a un sitio HTTP simple.
¿Por qué es un problema? ¿Qué tipo de exploit se puede realizar en esa situación?
Las advertencias de contenido mixto se producen cuando una página HTTPS solicita la carga de un recurso a través de HTTP. Esto es peligroso porque los recursos inseguros son vulnerables a la alteración por parte de un atacante activo o por un atacante pasivo, lo que viola la expectativa de seguridad del usuario para una página HTTPS.
Un enlace de anclaje <a> no hace que se busque ningún recurso 1 , por lo que posiblemente no se pueda cargar un recurso de forma insegura. La situación que has descrito no es posible.
<a> en una página HTTPS. Sin embargo, dado que la captación previa es puramente una optimización opcional, el comportamiento sensible es que el navegador omita la captación previa para ese recurso, no para emitir una advertencia sobre las implicaciones de seguridad de una optimización que es técnicamente innecesaria. / li>
Si el recurso vinculado es una imagen o un script, a menudo la principal preocupación no es que un atacante pueda leerlo, sino que un atacante podría secuestrar la solicitud e inyectar una versión modificada del recurso para cambiar la apariencia o el comportamiento de Los scripts de la página especialmente, ya que podrían modificarse para hacer algo malicioso, como redirigir al usuario a otro sitio web o robar datos que el usuario ingresa en la página.
(Como una nota lateral un tanto no relacionada, personalmente no estoy de acuerdo con la forma en que muchos navegadores manejan la visualización de estas advertencias. Una conexión parcialmente encriptada sigue siendo una mejora en lugar de ninguna encriptación, pero la forma en que algunos navegadores muestran advertencias prominentes hace que parezca " peor "que una página HTTP no segura. Prefiero la forma de hacerlo de Safari, que muestra" https: // "pero no hay un icono de bloqueo en estas páginas)
HTTPS asegura su conexión al servidor. El contenido que transfieres a través de HTTPS está encriptado. Por otro lado, HTTP es texto de queja, lo que significa que el contenido que transfieres a través de HTTP no está cifrado.
Ahora, si alguien está olfateando su tráfico, en el caso de HTTPS, el atacante solo puede ver los datos cifrados, pero en el caso de HTTP, el atacante puede ver los datos de texto sin formato.
Este es el motivo por el que se advierte a HTTP como contenido inseguro. Porque tan pronto como haga clic en un enlace HTTP, ese enlace en particular usará HTTP en lugar de HTTPS. Y si el usuario ha ignorado esto, puede transferir algún contenido confidencial como la contraseña a través de HTTP. El usuario podría confundirse con el hecho de que estaba navegando en una página HTTPS y todos los enlaces usarán HTTPS.
Lea otras preguntas en las etiquetas web-browser html tls mixed-content