所以,我遇到了这个问题,我想购买特定的 wacom 产品,但他们的在线商店eu-store.wacom.com和us-store.wacom.com,即使它是通过 https 访问的,也不能让我的 Firefox 相信它是安全的。
实际的 wacom 主页www.wacom.com显示为正确的绿色锁,并由 godaddy 验证。他们的eshop在同一个wacom.com域下,但缺少godaddy验证。
我的问题是,为什么会出现这种不一致,我如何验证商店页面确实是 wacom 的,最终,我用我的卡通过它购买东西是否安全?
在 上eu-store.wacom.com,通过 http 而不是 https 请求来自其 Amazon CDN 的一些图像。这可以通过安装HTTPS Everywhere并打开“加密所有符合条件的站点”来解决:
灰色挂锁意味着所有资源都得到安全服务。因此,网上商店很可能不会受到损害。他们仍在使用基于 CBC 和 SHA1 的过时密码,因此民族国家权力可能仍然能够拦截甚至 MITM 连接。
我的问题是,为什么会发生这种不一致
这被称为混合内容,其中页面使用 HTTPS 加载,而某些部分(图像)通过不安全的 HTTP 加载。
如何验证商店页面确实是 wacom 的
只要您的系统没有受到威胁,那么唯一的方法就是在任何地方使用 HTTPS 并访问正确的 URL,否则 HTTP 可能是 MITM 并且返回的响应本身可能是网络钓鱼页面。
注意:-此答案忽略了所有其他 Web/浏览器漏洞。
我用我的卡通过它购买东西安全吗?
好吧,他们可能会在支付时间时将您重定向到可能使用 HTTPS 的不同网站。除此之外,在 MITM 情况下,图像可能会被篡改。攻击者最多可以做的是
攻击者可能能够操纵页面的某些部分,例如,通过显示误导性或不适当的内容,但他们不应该能够从网站窃取您的个人数据。
在 eu-store.wacom.com 上,通过 http 而不是 https 请求来自其 Amazon CDN 的一些图像
让我继续说下去。Firefox 表示它不是 100% 安全的,因为它正在加载不受保护的内容。我会说,天真……它是95% 安全的
现在,这并不意味着该站点wacom.com不合法,而是可能配置错误。如果您今天从该网站购买,您不太可能支付假冒Wacom的骗子,但请稍后再看。
相反,提供的不受保护的内容可能会对未正确配置商店的Wacomhttp本身构成危险。
除了政府级别的攻击者可以做的事情之外,这里有一些真正的攻击者可以通过普通的旧 http 进行中间人攻击的示例:
Iframe通过 http 提供的 s 可以更改并造成一些损害,但可能不会嗅探您的 CC 号码(如果我错了,请纠正我)当然,我是从更协议理论的 PoV 说的。
所以...
如何验证商店页面确实是 wacom 的?
是的,他们就是他们。该网站没有受到损害,但易受攻击
我用我的卡通过它购买东西安全吗
可能来自您的家庭网络。我总是避免在没有适当加密的情况下通过公共 wifis 或 Tor 进行敏感浏览