¿Qué significa esta advertencia de Https - "no completamente seguro"?

En pocas palabras, está diciendo que mientras el núcleo de la página usa https (seguro) para llevar esa información a su computadora, esa página (segura) hace referencia a elementos inseguros (como imágenes y posiblemente scripts).

Los atacantes no pueden cambiar directamente la página original, pero pueden cambiar los elementos inseguros. Si esas son imágenes, pueden cambiar la imagen. Si esos son scripts, también pueden cambiarlos. De esa manera, los atacantes podrían cambiar lo que ves, aunque la página principal sea "segura".

Como señala Michael Kjörling en los comentarios, esto también expone parte de su información en estas solicitudes, posiblemente cookies (si es el mismo sitio / coincide con los sitios de cookies / el desarrollador no especificó solo seguro), las referencias, etc., que filtrará cierta información sobre lo que está haciendo en el mejor de los casos y, en el peor de los casos, puede permitir ciertos ataques.

Esta es una mala práctica de parte del desarrollador web: todos los elementos deben usar transporte seguro.

Usted podría (potencialmente) mejorar su propia situación con un complemento del navegador que actualiza automáticamente todas las solicitudes de http a https.

La advertencia significa que ciertos elementos pasivos de la página (los elementos pasivos son cosas como imágenes, videos, audio, etc.) se han cargado a través de una conexión insegura. No se ha cargado ningún contenido activo, que es contenido que podría acceder a su nombre de usuario o contraseña (principalmente scripts, sino también iframes), a través de una conexión insegura, por lo que ingresar su contraseña en esa página es tan seguro como si el mensaje de advertencia no estuviera allí. .

Hay dos razones por las que los navegadores le advierten sobre el contenido mixto pasivo. El obvio es que un atacante podría reemplazar las imágenes inseguras con otra cosa. El riesgo más sutil es que si un atacante puede ver qué imágenes se cargan en la página, podrían correlacionar eso con las páginas del sitio que cargan esas imágenes, y usarlo para determinar qué página del sitio que está viendo. . En su caso, eso no importa, pero para algunos sitios, HTTPS se usa en parte para evitar que un intruso pueda determinar qué parte del sitio está viendo.

Si la página se ha cargado a través de HTTPS, y hay contenido activo mixto, lo que significa que no sería seguro ingresar su contraseña, su navegador bloqueará la secuencia de comandos automáticamente, por lo que no es un riesgo. Si decides que quieres el script, marca el lugar como inseguro de manera muy prominente.

Antes de cargar el contenido inseguro:

Despuésdehacerclicen"Cargar scripts no seguros":

Siempre que la URL comience con https:// y no haya advertencias de seguridad prominentes, es seguro ingresar su contraseña.

Significa que la página web no muestra todo su contenido en el protocolo https. Tiene algunas partes usando http. El contenido mixto no es bueno y esto genera la advertencia que está viendo en los navegadores porque parte del contenido se puede ver de forma sencilla.

Tal vez algunas imágenes externas cargadas como <img src="http://somewhere.net"> o algún javascript, css o lo que sea.

Microsoft Edge es demasiado confiado, creo. :)

Esto significa que a pesar de que sus datos y (la mayoría) del contenido del sitio se enviaron a través de un túnel SSL, el sitio cargó las imágenes a través de un túnel sin cifrar. Este no es un problema importante en la mayoría de los casos, aunque es un problema que el desarrollador debería solucionar definitivamente.

Sin embargo, "debería iniciar sesión ...": en la mayoría de los casos (y en el suyo) es seguro iniciar sesión. Sus datos aún se enviarán a través del túnel cifrado.

Lo que debe comprender aquí es que se cargaron algunos recursos (como imágenes o scripts) a través de HTTP, y ese es el problema:

| HTTPS | ------ > | La mayor parte de la página | --- > | No puede ser editado por un atacante |

| HTTP | ------- > | Algunos recursos | --- > | Puede ser editado por un atacante |

El sitio está cargando contenido mixto, algunos contenidos, como imágenes y css, se cargarán a través de un canal inseguro, mientras que el contenido del sitio principal se servirá a través de HTTPS. Este es a menudo el caso cuando el estilo / las imágenes se extraen de los CDN.

En teoría, los elementos inseguros pueden ser personas en el medio y modificadas sin su conocimiento para servir contenido malicioso.

Chrome lo alerta sobre este tipo de problemas más que otros navegadores y es bueno ser cauteloso. Si tiene un historial de confianza en este sitio y tiene buena reputación, probablemente sea seguro continuar. Si no ha visto esto antes para un sitio en el que confía, puede recomendar a los desarrolladores lo que ha sucedido.

Recuerde que esto necesitaría un atacante activo para supervisar su conexión para poder aprovechar esta vulnerabilidad.

Solo para expandir en el lado de Internet Explorer / Edge:

• El sitio no parece ser inseguro de un vistazo, y el contenido inseguro tampoco parece estar resaltado
• Imprime un error de seguridad en la consola ("la seguridad de HTTPS se ve comprometida por < url >")
• Puede configurarlos para rechazar siempre el contenido mixto
El contenido
• mixto activo se rechaza por completo: no hay una advertencia "el sitio web no es seguro", el contenido activo inseguro simplemente no se ejecuta.

Por lo tanto, IE es plenamente consciente de las implicaciones, pero lo más probable es que las considere no críticas: la información no se filtra sobre el límite y las imágenes no son contenido activo (aunque todavía puede haber un vector de ataque, como con el vulnerabilidad de WMF). Esto aún significa que puede recibir datos que no son confiables (o encriptados); el razonamiento probablemente esté en la línea de "si fuera importante, sería sobre HTTPs; el sitio probablemente solo está tratando de ahorrar CPU en contenido estático ".

¿Puede esto todavía ser usado para exploits? Por supuesto. Por ejemplo, si sus botones "sí" y "no" son imágenes transportadas a través de HTTP, un atacante (MITM) podría cambiarlas, de modo que confirmaría un diálogo que deseaba rechazar. Esto podría ser especialmente problemático si el sitio web permite URL que piden algo como "¿Desea enviar todo su dinero al Sr. Hacker?" Pero solo es un problema si el contenido en sí es importante: confidencial, crítico para la seguridad y similares. Y, por supuesto, el navegador no tiene forma de saber si un recurso en particular es importante o no, solo lo hace el desarrollador (y la gente comete errores).

Puede parecer que emitir una advertencia es una buena medida de seguridad, pero ese no es necesariamente el caso. Si ve la misma advertencia en la mitad de las páginas a las que va, perderá su efecto por completo: la gente simplemente aprenderá a ignorarla (al igual que la primera vez que IE le preguntó si desea permitir el envío de contenido inseguro, simplemente marcó "No volver a preguntarme" y lo permitió, sin siquiera darme cuenta, es lo primero que le pregunta IE cuando intenta publicar datos de formularios de cualquier tipo a través de HTTP). Así que realmente está eligiendo entre dos males, como suele ser el caso con cualquier diseño no trivial, en este caso, un falso negativo frente a un falso positivo.

Si no ve el candado, puede verificar el motivo en:

¿Por qué no hay candado?

Este servicio permite parámetros de consulta y funciona también con sitios web de comercio electrónico como ShopSite, Magento, WooCommerce.

Esto me ayuda mucho, especialmente cuando se diagnostica un sitio web.

"No totalmente seguro" es también la forma en que Chrome describe los sitios web que utilizan algoritmos de cifrado que ya no se consideran completamente seguros, pero están demasiado extendidos para desactivarse por completo. Actualmente, el único algoritmo de este tipo es SHA-1 , y planean para desactivar ese mes (con el lanzamiento de la versión 56), pero podría volver a aparecer en el futuro.

Creo que vale la pena señalar que Chrome también te dará este mensaje si hay una etiqueta form en tu página con un action no seguro. Chrome acaba de mostrarme este mensaje:

  

Su conexión a este sitio no es completamente segura

     

Los atacantes podrían ver las imágenes que estás viendo en este sitio y engañarte modificándolas.

Esto puede indicar una dirección totalmente errónea si el problema es de hecho un form con un action no seguro.

Por lo tanto, esto es bueno:

<form action="https://www.example.com/whatever.php">

y esto es malo:

<form action="http://www.example.com/whatever.php">

No ha solicitado ningún contenido de http://www.example.com/whatever.php todavía , pero si su usuario envía el formulario, no será seguro, por lo tanto, la advertencia de Chrome.