Waarom zegt mijn browser dat een beveiligde website niet volledig beveiligd is?
Met alle problemen die je kunt tegenkomen op internet, is het altijd een goed idee om een zo veilig mogelijke verbinding te hebben. Maar wat doe je als er in je browser staat dat een beveiligde website niet volledig beveiligd is? De SuperUser Q & A-post van vandaag heeft het antwoord op de vraag van een bezorgde lezer.
De Question & Answer-sessie van vandaag komt tot ons dankzij SuperUser - een onderdeel van Stack Exchange, een gemeenschapsgedreven groep van Q & A-websites.
De vraag
SuperUser-lezer David Starkey wil weten waarom zijn browser zegt dat een beveiligde website niet volledig beveiligd is:
Ik gebruikte Pandora via SSL en merkte een paar pictogrammen op via de URL. Ten eerste is dit uitroepteken in een driehoek, waarmee wordt aangegeven dat de pagina niet volledig beveiligd is.
Ernaast is een schild. Deze zegt dat inhoud die niet beveiligd is geblokkeerd is.
Deze uitspraken lijken mij, althans voor mij, tegen te spreken. Kan iemand me dit uitleggen? Is mijn verbinding veilig of niet? Ik gebruikte de Pandora-website via Firefox 30.0 op Windows 7. Ik heb ook HTTPS Everywhere geïnstalleerd.
Wat is hier aan de hand? Is de verbinding van David met de Pandora-website veilig of niet?
Het antwoord
SuperUser contributor redburn heeft het antwoord voor ons:
Dit wordt een "gemengde inhoud" -pagina genoemd. Van het Mozilla Developer Network (Mixed Content):
- Als de HTTPS-pagina inhoud bevat die is opgehaald via reguliere, cleartext HTTP, dan is de verbinding slechts gedeeltelijk gecodeerd: de niet-versleutelde inhoud is toegankelijk voor sniffers en kan worden aangepast door man-in-the-middle aanvallers, en daarom wordt de verbinding niet meer beveiligd . Wanneer een webpagina dit gedrag vertoont, wordt dit een a genoemd gemengde inhoud pagina.
De verklaringen zijn niet tegenstrijdig, maar complementair en misschien een beetje verwarrend. De eerste zegt dat de pagina zelf niet volledig beveiligd is omdat deze niet-versleutelde elementen bevat (alle webbrowsers zullen je hiervan op de hoogte stellen), terwijl de tweede merkt dat deze elementen automatisch zijn geblokkeerd door Firefox.
Als Firefox de niet-versleutelde elementen niet blokkeerde, dan zou strikt genomen de pagina niet beveiligd zijn.
HTTPS Everywhere garandeert geen veilige verbinding. Het zal alleen proberen om HTTPS te forceren wanneer het beschikbaar is; als dat niet het geval is, kan een gebruiker of browser er niets aan doen zonder de onbeveiligde inhoud te blokkeren.
Heb je iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk hier de volledige discussiethread.