#security #firefox #https #mixed-content
#Безопасность #firefox #https #смешанный контент
Вопрос:
Firefox говорит здесь, что у них активный смешанный контент заблокирован по умолчанию:
Starting in Firefox 23, mixed active content is blocked by default
Однако, когда я пытаюсь увидеть поведение businessinsider.com (сайт с большим количеством небезопасных ссылок), есть много небезопасных активных ссылок со смешанным контентом, которые разрешены через:
Исходя из этого, я полагаю, что серая блокировка с красной косой чертой указывает на то, что содержимое небезопасно, но не блокируется. Статус 200 OK, связанный с этими запросами, также указывает на то же самое, что эти запросы извлекаются, а не блокируются. Мне было интересно, что здесь может происходить. У кого-нибудь есть какие-либо идеи?
Ответ №1:
https://www.businessinsider.com перенаправляет на http://www.businessinsider.com . Небезопасный контент, который вы видите, находится на странице http, при которой блокировка смешанного содержимого не происходит.
Комментарии:
1. Спасибо за ответ. Означает ли это, что веб-сайт businessinsider не поддерживает https, а Firefox блокирует активный смешанный контент только для сайтов, корневым доменом которых является https?
2. Исправьте и исправьте. BusinessInsider понижает рейтинг https до http, а блокировка смешанного содержимого имеет смысл только в контексте страницы, которая обслуживается по протоколу HTTPS, поскольку целью является блокировка содержимого, которое небезопасно передается по HTTP,
3. Еще один вопрос. Мне было интересно, является ли это одной из причин, по которой сайтам иногда требуется много времени для поддержки HTTPS? Например, если основной сайт поддерживает HTTPS, но его встроенные запросы (идущие к cdn, серверам рекламы и так далее) этого не делают, то функциональность может нарушиться, если Firefox заблокирует их.
4. Абсолютно. Новостные сайты сильно зависят от трекеров и рекламных сетей, которые могут не поддерживать HTTPS, и перевести такие сайты на HTTPS непросто. Из cdt.org/blog/its-time-to-move-to-https «два крупных сектора индустрии, в которых дела обстоят не так хорошо с точки зрения HTTPS, — это новостные сайты и индустрия развлечений для взрослых. … Одним из основных факторов медленного внедрения HTTPS новостными сайтами была сложность их рекламной инфраструктуры и аналитики веб-сайтов; им приходилось отслеживать каждый отдельный экземпляр отправляемого небезопасного элемента страницы и работать со своими партнерами, чтобы исправить это поведение «.
5. Спасибо, это очень полезно!