এসএসএল পৃষ্ঠায় নিরাপদ সম্পদ থাকা কি আসলেই একটি সুরক্ষা সমস্যা?

আমার বোধগম্যতা এটি অত্যধিক সতর্ক হওয়ার কেবল উদাহরণ, তবে আমার চেকআউট ফর্মটিতে যদি কোনও অনিরাপদ সম্পদ থাকে তবে এটি কারওর ক্রেডিট কার্ডের নম্বরগুলি মধ্য-মধ্যবর্তী ব্যক্তির হাতে ধরা থেকে বিপন্ন করে না।

আমি এটি জিজ্ঞাসা করছি কারণ প্রতিবারের মধ্যে, সম্ভবত ক্যাশেড সামগ্রী বা নোট নোটের কারণে, কেউ কেউ লিখেছেন যে তারা এই "ত্রুটি" দেখছেন (যদিও আমার পৃষ্ঠায় কোনও সুরক্ষিত সম্পদ নেই) তবে তারা ব্যাখ্যা চান।

সুতরাং হ্যাঁ, আমি এনক্রিপশন এবং শংসাপত্রগুলি এবং বিশ্বাস এবং মাঝখানে-পুরুষদের সম্পর্কে সব বলতে পারি। তবে এ বিষয়ে তাদের কী বলব। আমি কীভাবে তাদের বোঝাতে পারি যে সাইটটি 100% নিরাপদ (এবং যদি এটি আমাকে না জানায় যে আমি ভুল করে ফেলেছি!)

একটি "মিশ্র স্ক্রিপ্টিং" দুর্বলতা তখন হয় যখন HTTPS- র মাধ্যমে পরিবেশন করা কোনও পৃষ্ঠা HTTP- র মাধ্যমে কোনও স্ক্রিপ্ট, সিএসএস বা প্লাগ-ইন সংস্থান লোড করে। একজন ম্যান-ইন-দ্য মিডল আক্রমণকারী (যেমন একই ওয়্যারলেস নেটওয়ার্কের কেউ) সাধারণত এইচটিটিপি রিসোর্স লোডটি আটকাতে পারে এবং সংস্থানটি লোড করা ওয়েবসাইটে সম্পূর্ণ অ্যাক্সেস অর্জন করতে পারে। এটি প্রায়শই খারাপ হয় যেমন ওয়েব পৃষ্ঠাটি এইচটিটিপিএস ব্যবহার করে নি।

http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html

সুরক্ষা গবেষক এবং অনেক ওয়েব বিকাশকারী হুমকির বিষয়টি ভালভাবে বুঝতে ও বোঝাতে পারেন। মিশ্র সামগ্রীর দুর্বলতার মাধ্যমে ব্যবহারকারীকে আক্রমণ করার জন্য তিনটি সহজ পদক্ষেপ রয়েছে ...

1) মধ্য-আক্রমণে ম্যান-ইন-সেট করুন। এগুলি সর্বজনীন নেটওয়ার্কগুলিতে যেমন কফি শপ বা বিমানবন্দরগুলিতে সহজেই করা হয়।

2) দূষিত জাভাস্ক্রিপ্ট ফাইলটি ইনজেক্ট করতে একটি মিশ্র সামগ্রীর দুর্বলতা ব্যবহার করুন। ক্ষতিকারক কোডটি এইচটিটিপিএস ওয়েবসাইটে চালিত হবে যা ব্যবহারকারীরা ব্রাউজার করে। মূল বিষয়টি হ'ল এইচটিটিপিএস সাইটের এতে একটি মিশ্র বিষয়বস্তু দুর্বলতা রয়েছে যার অর্থ এটি HTTP- র মাধ্যমে ডাউনলোড করা সামগ্রী কার্যকর করে। এইখানেই ম্যান-ইন-দ্য মিডল আক্রমণ এবং মিশ্রিত সামগ্রী দুর্বলতা এক বিপজ্জনক দৃশ্যের সাথে একত্রিত।

“যদি কিছু আক্রমণকারী জাভাস্ক্রিপ্ট বা স্টাইলশিট ফাইলগুলির সাথে হয়রান করতে সক্ষম হয় তবে তিনি কার্যকরভাবে আপনার পৃষ্ঠায় থাকা অন্যান্য সামগ্রী (যেমন ডিওএম সংশোধন করে) সাথে छेলা করতে পারেন। সুতরাং এটি হয় সব বা কিছুই। হয় আপনার সমস্ত উপাদান এসএসএল ব্যবহার করে পরিবেশন করা হয়, তারপরে আপনি সুরক্ষিত। অথবা আপনি সরল এইচটিটিপি সংযোগ থেকে কিছু জাভাস্ক্রিপ্ট বা স্টাইলশিট ফাইল লোড করুন, তারপরে আপনি আর নিরাপদ নন ”" - আমি

3) ব্যবহারকারীর পরিচয় চুরি করুন (বা অন্যান্য খারাপ কাজগুলি করুন)।

http://ie.microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1

সম্পর্কিত প্রশ্ন: /programming/