Hoy estuve trabajando en el servidor de pruebas de una empresa cuando noté que alojan el subdominio de su API a través de una conexión HTTPS mientras que sirven su panel de control orientado al usuario mediante una conexión HTTP. ¿Esto supone un riesgo para la seguridad? Sé que HTTP no brinda protección a los datos transmitidos a través de la red, pero no sé si esto afectará a las llamadas HTTPS que se realicen después de que la página se haya cargado en el navegador de un usuario.
También, algunas notas: El panel de control de la compañía es una aplicación de una sola página. Inspeccioné el tráfico de la red cuando cargaba la página y, por lo que sé, todas las solicitudes AJAX se envían a través de HTTPS, incluidas las solicitudes de inicio de sesión.
Si esto es un riesgo de seguridad, ¿puede indicarme algunos documentos oficiales que puedo usar para convencer a la compañía de que tienen un problema?