Chrome:您的连接是私密的,但有人可能会更改页面的外观

信息安全 tls 铬合金
2021-08-28 02:07:05

我碰巧遇到了这个应该是 HTTPS 保护的(政府)网站,但 Chrome 没有显示绿色锁。相反,它显示了这一点:

在此处输入图像描述

这是什么意思?攻击者如何利用此漏洞?

4个回答

您的浏览器在屏幕上显示的页面可能包含许多元素:HTML 代码、CSS、图像等。此外,某些内容可能由从站点下载的(合法)脚本提供、增强或更改。这些元素可能来自同一服务器或其他服务器。

为了让 Chrome 显示“您与此站点的连接是私密的”消息,对于页面的每个元素:

  • 必须建立加密的 HTTPS 连接
  • 现场证书(身份)必须有效
  • 必须使用未弃用的协议和算法

如果通过非加密 HTTP 链接包含一个或多个元素,则:

  • 如果是脚本,Chrome 会显示一条消息:

    您与此站点的连接不是私密的,因为该站点加载了不安全的脚本。

    在这种情况下,脚本有可能被恶意替换。您从该站点接收或发送到该站点的任何数据都可能被拦截和更改。

  • 如果它(仅)是被动内容(如图像),Chrome 将显示一条消息:

    您与此站点的连接是私密的,但网络上的某个人可能能够更改页面的外观。

    在这种情况下,没有人能够嗅探您的数据或阅读该网站提供的信息。但是,通过更改页面的外观,您可能会被诱骗执行您原本不打算执行的操作,例如重设密码。尽管密码更改本身是安全且合法的,但它可能会使攻击者受益。

    此外,此消息并非 100% 准确。根据所包含的实际被动内容,被动攻击者可以推断出您在加密站点上执行了哪些操作。与 HTTPS 不同,使用 HTTP 时,完整的 URL 将是可见的,因此如果某个页面加载了一组独特的图标,攻击者将能够告诉您到达该页面。

techraf 的回答有一个很好的一般解释,我只想在您在评论中确定的页面中添加直接原因:

https://egov.uscis.gov/crisgwi/go?action=offices

Chrome 给您的警告有点令人困惑,但此页面上的具体问题是顶部的“搜索”按钮,它是包含非 HTTPS 端点的表单的一部分:

<form action="http://www.uscis.gov/portal/site/uscis/menuitem/" 
      method="get" name="searchForm">
    ...
    <input type="image" name="submit" 
           src="images/branding/searchButton.gif" 
           id="uscisSearchBtn" title="Search">
</form>

Chrome 抱怨该表单的 HTTP 目标。

你可以找到这个的方法是:

  1. 单击地址栏中 URL 左侧的图标以显示警告。
  2. 点击下方的“详情”。你会看到一些细节。
  3. 在这种情况下,分析窗口的右上角还有另一个小警告图标。这将打开控制台(如果您已经习惯这样做,您也可以跳过前 3 个步骤,直接打开开发者控制台)。
  4. 您通常会在此处找到更详细的消息,其中包含对问题的描述和识别有问题的资源。
  5. 在此消息的右侧,您会找到文件名和行号。单击它将打开页面源,其中有问题的项目以红色下划线显示。

这是我在动画 GIF 中记录该过程的尝试(单击它以查看完整分辨率):

在此处输入图像描述

抱歉,我不知道这有什么风险,但这至少是 Chrome 警告的确切来源。希望有帮助。

这意味着该站点在 https 链接上加载了请求的 http 资源。攻击者可以操纵 http 资源并通过这些资源进行攻击。如果您打开控制台,您将看到许多混合内容警告,它们对此进行了解释。
参考: https ://productforums.google.com/forum/#!topic/chrome/NLTAR28lqU0

如果你点击 Chrome 控制台,你会看到:

混合内容:“ https://egov.uscis.gov/crisgwi/go?action=offices ”上的页面是通过安全连接加载的,但包含一个针对不安全端点的表单“ http://www.uscis”。 gov/portal/site/uscis/menuitem.5600b9f6b2899b1697849110543f6d1a/ '。该端点应通过安全连接提供。

检查该 url 显示它<action><form>通过http://

<form action="http://www.uscis.gov/portal/site/uscis/menuitem.5600b9f6b2899b1697849110543f6d1a/" method="get" name="searchForm"><label for="criteria" class="s508"><span>Search</span></label><input type="text" id="criteria" onblur="setSearchField(document.searchForm, this);" title="Enter search terms" onfocus="clearSearchField(this);" maxlength="50" value="Search" name="searchQuery"><input type="image" name="submit" src="images/branding/searchButton.gif" id="uscisSearchBtn" title="Search"></form>

至于为什么它说“可能能够改变外观” - 很可能它是在存在不安全元素时触发的通用消息。大多数情况下,这些将是媒体、css 或 js。在这种情况下,它是一个<form>.

如果通过 HTTP 请求资源/资产/调用/等,则不应用加密。这意味着“中间”的任何人都可以监听、获取数据、减轻数据并传递数据。如果数据被加密,并使用适当的密码、保密和 TLS,那么他们就无法监听,如果监听,也不会“看到”真实数据。

其它你可能感兴趣的问题
上一篇在 SSH 中创建用户特定的身份验证方法 下一篇我有什么理由不应该让 GPG 加密的文件可以公开访问吗?