我在其他SSL安全网站上使用Google Maps API。因此我总是从我的网络应用程序中弹出这些可怕的“混合内容”警告之一。这很烦人。我了解在将应用程序投入生产时我可以修复此问题,并在Google上注册一个高级帐户。欢呼。我感到很困惑:无论我是通过HTTP还是HTTPS下载内容,Google对我网站完整性的威胁都是一样的。换句话说,提出此警告的浏览器有什么意义?
感谢。
答案 0 :(得分:6)
来自Google的威胁可能保持不变,但当您通过http加载Google内容时,您需要担心的不仅仅是来自Google的威胁;你还需要担心中间人攻击,其中某人冒充谷歌并将恶意内容注入你的网页。随着使用不受信任或不安全的无线网络的人数,这些天发动中间人攻击并不难。
此外,https应该保护双向信息。如果页面上的内容未通过https保护,但用户在地址和锁定图标中看到https,则他们可能认为他们输入的信息对窃听者是安全的,而实际上某些信息是以明文形式传输的。
答案 1 :(得分:2)
无论是通过HTTP还是HTTPS下载内容,Google对我网站完整性的威胁都是一样的
我认为你在这里使用了错误的threat model。威胁是不,谷歌可能会恶意行为,并向您的用户发送错误的数据。实际上,SSL无法防范这种情况。
实际的威胁是,中间人(用户和谷歌之间)可能会窃听未受保护的数据,以确定用户的行为,甚至修改未受保护的内容以欺骗他们。
浏览器有责任以某种方式告知用户此类攻击是可能的。否则,用户会错误地认为一切都是安全的,因为他输入了“https”地址。
答案 2 :(得分:0)
此消息存在的原因是任何HTTPS连接都是通过SSL提供的,因此浏览器知道其中的数据确实是从服务器发送的确切数据。
对于通过HTTP传递的任何组件,情况并非如此 - 这些组件可以更改通过SSL传递的组件,因此无法保证HTTPS数据的正确性。
这就是警告出现的原因。