Security 当页面通过https传递安全和非安全项目时,安全项目是否受到威胁?
我不能100%确定我使用的术语是否正确,或者我是否遗漏了回答问题所需的信息。所以请对我耐心点 我的客户希望在其网站的成员区内包含来自外部来源的视频源。成员区域是通过https传递的,而视频提要不是。这会危及安全数据吗 我知道有些浏览器会提醒用户页面上加载了安全和不安全的数据。坦率地说,我的客户对此没有意见,但如果用户帐户信息(特别是会话等)被泄露,我不想继续Security 当页面通过https传递安全和非安全项目时,安全项目是否受到威胁?,security,ssl,https,network-protocols,Security,Ssl,Https,Network Protocols,我不能100%确定我使用的术语是否正确,或者我是否遗漏了回答问题所需的信息。所以请对我耐心点 我的客户希望在其网站的成员区内包含来自外部来源的视频源。成员区域是通过https传递的,而视频提要不是。这会危及安全数据吗 我知道有些浏览器会提醒用户页面上加载了安全和不安全的数据。坦率地说,我的客户对此没有意见,但如果用户帐户信息(特别是会话等)被泄露,我不想继续 感谢您的帮助。如果您的页面引用了未加密的Javascript或Flash,您将完全不受保护;攻击者可以替换他想要的任何Javascript
感谢您的帮助。如果您的页面引用了未加密的Javascript或Flash,您将完全不受保护;攻击者可以替换他想要的任何Javascript,并可以窃取非仅HTTP的Cookie,或发出模拟当前用户的任意HTTP请求 如果你引用未加密的CSS,你仍然容易受到攻击;攻击者可以任意修改您的布局,并 如果你引用了未加密的图像,你基本上就没事了;攻击者所能做的就是查看Referer头并找出用户看到的页面。(他还将为映像的域获取任何非SSL专用cookie)。
攻击者还可以更改图像以满足其需要,这可能是一个问题。如果您基于cookie(例如使用标准SessionId)识别用户,则即使仅引用静态图像,您也容易受到攻击 默认情况下,用户浏览器会将每个请求的会话cookie重新发送到同一主机,与协议无关。即,您在登录表单上使用HTTPS安全地验证了您的用户,并确保继续对所有敏感页面使用HTTPS…
但是,您还可以通过HTTP包含“非敏感”图像。。。当请求这些图像时,用户的浏览器将通过非加密、非安全的纯文本HTTP愉快地发送敏感的会话cookie。
然后,只需从HTTP获取cookie,并在站点的安全部分模拟您的用户 注意,这是默认设置。 您可以通过添加
securecookies的属性。根据您的框架,您可以将其配置为自动执行。同样,这不是默认值,您必须显式更改它。
当您使用时,添加httpOnly属性 视频源是如何工作的?视频源通过另一台服务器(ustream的分水岭)提供的flash播放器提供。如果您正在加载未加密的SWF,您非常容易受到攻击。我希望您意识到远程站点信任您。因此。。。如果flash嵌入/对象指向未加密的flash文件,则我完全易受攻击?正确。攻击者可以替换一个邪恶的SWF来执行向服务器发送的请求。可能有一些闪存安全选项可以缓解此风险。您可以添加
,但您仍然容易受到针对旧版本编译的SWF的攻击。什么是“针对旧版本编译”?你是说攻击者可以编译一个swf到flash版本8并绕过那些安全预防措施吗?是的,但是到版本7,而不是8。你是对的;我以为一切都在不同的领域。(他说外部消息)哦,嗯@SLaks你可能是对的,错过了关于内容非现场的部分,如果确实是这样的话。然而,如果是这样的话,还有一个不同的问题,可能更好——关于从第三方检索内容,可能是不受信任的站点。由此产生了很多安全问题,包括场外广告……我想他意识到他必须信任另一个网站。@Slaks不一定。这样做有好有坏,他可能没有意识到,在某些情况下,全能的“跨领域政策”并不像大多数人想象的那样强大。