안녕 얘들 아 나는 내가 최근에 설치 한 웹 사이트를 호스팅하는 내 웹 서버를 가지고있다./자기 서명 된 SSL 인증서를 설치한다. 웹 사이트 보안을 유지하는 것은 괜찮은 것처럼 보였지만 파이어 폭스와 IE에서는 "이 페이지에 안전하고 불안정한 정보가 혼합되어 있습니다 ..."라고 표시되는 상자를 팝업으로 표시하고 파이어 폭 오류 콘솔에서 SSL 취약성 (CVE-2009)에 취약 할 수 있다고 말합니다.SSL 취약점 (혼 콘텐츠)에 대한 도움이 필요하십니까?
기본적으로 페이지의 어딘가에 HTTP 콘텐츠를 이미지, CSS 파일 또는 다른 것으로 제공하고 있습니다. 이 문제를 해결하는 가장 좋은 방법 중 하나는 프로토콜 상대 URL을 사용하는 것입니다. 그들은 예를
<img src="//example.com/image.gif" />
이 호스팅 페이지가 가지고있는 프로토콜, HTTP를 사용하여 자원을로드의 효과를 위해
"//example.com/image.gif"
의 형태를 가지고는 HTTPS의 경우는 HTTP, HTTPS의 경우.
리소스에 대한 프로토콜이 UI에 명확하게 표시되어 있기 때문에 Fiddler는 tracking these things down에 적합합니다.
http를 사용하여 일부 콘텐츠 (이미지, 스크립트, CSS, iframe 등)를로드하면 경고 메시지가 발생합니다. 가장 쉬운 방법은 브라우저에서 소스 코드보기를 열고 "http : //"를 검색하는 것입니다.
이것은 진정한 보안 문제입니다. 공격자가 스크립트 또는 CSS 파일을 조작 할 수 있으면 페이지의 모든 부분을 수정할 수 있습니다 (예 : 로그인 양식의 대상 변경). 심지어 이미지는 사용자를 오도하는 지침을 표시 할 수 있기 때문에 문제가됩니다.
나는 CVE-2009-3555를 언급 한 것으로 생각됩니다. 이것은 혼합 내용 경고와 관련이 없습니다. 그리고 당신은 당신의 웹 서버가 최신 보안 업데이트를 사용하는 가정, 지금은 그것을 무시 할 수 있습니다, 결함이 SSL/TLS 프로토콜 버전을 현재를 사용할 때 불행하게도
를,이 사이트가 보호되는지 여부를 확인할 수 없습니다 또는 취약.
HTTP 대 HTTPS 요청을 분리하는 또 다른 좋은 방법은 fiddler를 통해 - 당신은 SSL없이 사이트의 요청,있는 경우, 즉시 어떤 파일을 볼 수 있습니다.
요청에 HTTP REFER 헤더가 설정되어 있어야 HTTPS 대신 HTTP를 통해 리소스가 요청되는 이유를 찾을 수 있습니다.
웹 사이트에서 콘텐츠가 런타임에 설정되는 IFRAME을 사용하는 경우 애매한 문제가 발생합니다. IFRAME (빈 소스 태그)에 내용이 없으면 IE는 HTTPS로 보호되는 리소스가 아니라고 생각하게되므로 실제로 HTTP를 통해 전송 된 내용이 없더라도 경고를 받게됩니다.
보안 문제 일 수 있습니다. 문제를 해결하는 방법은 http://www.sslshopper.com/article-stop-the-page-contains-secure-and-nonsecure-items-warning.html을 참조하십시오.
+1. 혼합 된 콘텐츠는 사이트가 보안 쿠키를 사용하지 않고 일반 HTTP를 통해 동일한 컴퓨터에 연결을 시도 할 때도 문제가됩니다. 비 SSL 사이트에 회사 로고/CSS를 남겨둔 HTTPS 사이트에 대해이 내용을 몇 번 보았습니다. 기본적으로 혼합 콘텐츠는 웹 사이트 개발자의 버그 (또는 나쁜 디자인)이지만 CVE-2009-3555는 새로운 결함으로 수정 된 프로토콜 결함입니다 (아직 구현되지 않음). – Bruno
답장을 보내 주셔서 감사합니다. Firefox의 오류 콘솔에 CVE-2009-3555 (더 이상 언급되지 않음)가 언급 된 이유는 모르지만 혼합 콘텐츠 경고의 원인을 파악했습니다. 모든 것들 중에서 Google을 통해 Jquery 라이브러리에 연결되었습니다. 이 링크는 https : //가 아닌 http : //이므로 혼합 콘텐츠 경고가 발생했습니다. – jz3