¿Qué pasa si la mayoría de la página se sirve a través de SSL correctamente (HTTPS) pero hay algún archivo javascript perdido que se sirve sin cifrar (HTTP)?
¿Cuál es el riesgo aquí? Gracias
Si alguien puede inyectar mi código JavaScript en la página, por ejemplo, secuestrando una conexión no segura, básicamente puede tomar el control de toda la página.
Por ejemplo, digamos que está intentando iniciar sesión en ese sitio web que almacena toda su información personal ™, pero uno de los archivos JavaScript se entrega a través de una conexión insegura. Un empleado deshonesto de su ISP intercepta esta conexión e inyecta un código JavaScript que, al hacer clic en el botón "Iniciar sesión", toma el nombre de usuario y la contraseña que ingresó y se los envía a sí mismo. Ahora tiene control sobre su información de inicio de sesión y puede potencialmente robar su identidad, en función de la información que puede encontrar en la página de su cuenta (como el nombre completo, la dirección, el número de teléfono, los últimos cuatro dígitos de su número de tarjeta de crédito, etc.)
Un archivo malicioso de javascript le puede servir como si fuera suyo: a través de un hombre en el ataque central . Desde allí, el archivo puede ejecutar el código que atacará a su usuario: por ejemplo, solicite la contraseña del usuario (simulando una solicitud de reinicio de sesión) y envíela a otro lugar. Y hay más ejemplos.
Lea otras preguntas en las etiquetas tls