Pourquoi mon navigateur dit-il qu'un site Web sécurisé n'est pas entièrement sécurisé?
Avec tous les problèmes que l’on peut rencontrer sur Internet, il est toujours bon d’avoir une connexion aussi sécurisée que possible. Mais que faites-vous lorsque votre navigateur indique qu'un site Web sécurisé n'est pas totalement sécurisé? Le message Q & R du SuperUser d'aujourd'hui répond à la question d'un lecteur inquiet.
La séance de questions et réponses d'aujourd'hui nous est offerte par SuperUser, une sous-division de Stack Exchange, un groupe de sites Web de questions-réponses dirigé par la communauté..
La question
Le lecteur de SuperUser, David Starkey, veut savoir pourquoi son navigateur dit qu'un site Web sécurisé n'est pas totalement sécurisé:
J'accédais à Pandora via SSL et j'ai remarqué quelques icônes près de l'URL. Le premier est ce point d’exclamation dans un triangle, indiquant que la page n’est pas entièrement sécurisée.
À côté de lui est un bouclier. Celui-ci dit que le contenu qui n'est pas sécurisé est bloqué.
Ces déclarations, du moins pour moi, semblent se contredire. Quelqu'un peut m'expliquer cela? Ma connexion est-elle sécurisée ou non? J'ai accédé au site Web de Pandora à l'aide de Firefox 30.0 sous Windows 7. HTTPS Everywhere est également installé..
Qu'est-ce qui se passe ici? La connexion de David au site Web de Pandora est-elle sécurisée ou non??
La réponse
Redburn, contributeur à SuperUser, a la solution pour nous:
C'est ce qu'on appelle une page à «contenu mixte». Depuis le réseau de développeurs Mozilla (contenu mixte):
- Si la page HTTPS comprend du contenu récupéré via HTTP normal en texte clair, la connexion n'est que partiellement cryptée: le contenu non crypté est accessible aux renifleurs et peut être modifié par des attaquants man-in-middle, de sorte que la connexion n'est plus sauvegardée. . Quand une page Web présente ce comportement, on l’appelle contenu mixte page.
Les déclarations ne sont pas contradictoires, mais complémentaires et un peu déroutantes peut-être. Le premier indique que la page elle-même n'est pas entièrement sécurisée, car elle contient des éléments non chiffrés (tous les navigateurs Web vous en informeront), tandis que la seconde indique que ces éléments ont été automatiquement bloqués par Firefox..
Si Firefox ne bloquait pas les éléments non chiffrés, alors, à proprement parler, la page ne serait pas sécurisée..
HTTPS Everywhere ne garantit pas une connexion sécurisée. Il essaiera seulement de forcer HTTPS chaque fois qu'il sera disponible; Si ce n'est pas le cas, aucun utilisateur ni aucun navigateur ne peut y remédier en dehors du blocage du contenu non sécurisé..
Avez-vous quelque chose à ajouter à l'explication? Sound off dans les commentaires. Voulez-vous lire plus de réponses d'autres utilisateurs de Stack Exchange doués en technologie? Découvrez le fil de discussion complet ici.