En un mot, cela signifie que si le cœur de la page utilise https (sécurisé) pour obtenir ces informations sur votre ordinateur, cette page (sécurisée) fait référence à des éléments non sécurisés (comme des images et éventuellement des scripts).

Les attaquants ne peuvent pas modifier directement la page d'origine, mais ils peuvent modifier les éléments non sécurisés. Si ce sont des images, elles peuvent changer l'image. Si ce sont des scripts, ils peuvent également les modifier. De cette façon, les attaquants pourraient changer ce que vous voyez, même si la page principale était «sécurisée».

Comme le souligne Michael Kjörling dans les commentaires, cela expose également certaines de vos informations dans ces requêtes - potentiellement des cookies (s'il s'agit du même site / correspond aux sites de cookies / le développeur n'a pas spécifié uniquement sécurisé), les référents, etc., qui divulgueront des informations sur ce que vous faites dans le meilleur des cas et au pire peuvent permettre certaines attaques.

C'est une mauvaise pratique de la part du développeur Web - tous les éléments doivent utiliser un transport sécurisé.

Vous pourriez (potentiellement) améliorer votre propre situation en utilisant un plugin de navigateur qui se met à jour automatiquement toutes les demandes de http à https.

L'avertissement signifie que certains éléments passifs de la page (les éléments passifs sont des éléments tels que des images, des vidéos, de l'audio, etc.) ont été chargés via une connexion non sécurisée. Aucun contenu actif, qui est un contenu pouvant accéder à votre nom d'utilisateur ou mot de passe (principalement des scripts, mais aussi des iframes), n'a été chargé via une connexion non sécurisée, donc entrer votre mot de passe sur cette page est tout aussi sûr que si le message d'avertissement n'était pas là .

Il y a deux raisons pour lesquelles les navigateurs vous avertissent du contenu mixte passif. Le plus évident est qu'un attaquant pourrait remplacer les images non sécurisées par autre chose. Le risque le plus subtil est que si un attaquant peut voir quelles images sont chargées sur la page, il pourrait être en mesure de les corréler avec les pages du site qui chargent ces images, et de l'utiliser pour déterminer quelle page du site que vous consultez. . Dans votre cas, cela n'a pas d'importance, mais pour certains sites, HTTPS est utilisé en partie pour empêcher un espion de déterminer quelle partie d'un site vous consultez.

Si la page a été chargée via HTTPS, et il y a un contenu actif mixte, ce qui signifie qu'il ne serait pas sûr d'entrer votre mot de passe, votre navigateur bloquera automatiquement le script, donc ce n'est pas un risque. Si vous décidez que vous voulez le script, il marque de manière très visible le site comme étant non sécurisé.

Avant de charger le contenu dangereux:

Après avoir cliqué sur "Charger les scripts non sécurisés":

À condition que l'URL commence https: / / et il n'y a pas d'avertissement de sécurité important, vous pouvez entrer votre mot de passe en toute sécurité.

Cela signifie que la page Web n'affiche pas tout son contenu sur le protocole https. Il comporte certaines parties utilisant http. Le contenu mixte n'est pas bon et cela génère l'avertissement que vous voyez sur les navigateurs car une partie du contenu peut être visualisée en clair.

Peut-être que certaines images externes chargées comme <img src = "http: // quelque part.net "> ou du javascript, du css ou autre.

Microsoft Edge est trop confiant je pense. :)

Le site charge un contenu mixte, certains contenus tels que des images et des css seront chargés sur un canal non sécurisé tandis que le contenu du site principal est diffusé via HTTPS. C'est souvent le cas lorsque le style / les images sont extraits de CDN.

En théorie, les éléments non sécurisés pourraient être l'homme dans le milieu et modifiés à votre insu pour servir du contenu malveillant.

Chrome vous alerte sur ces types de problèmes plus que tout autre navigateur et il est bon d'être prudent. Si vous avez déjà fait confiance à ce site et qu'il est réputé, il est probablement prudent de continuer. Si vous n'avez jamais vu cela auparavant pour un site de confiance, vous souhaiterez peut-être informer les développeurs de ce qui s'est passé.

N'oubliez pas que cela nécessiterait qu'un attaquant actif surveille votre connexion pour pouvoir exploiter cette vulnérabilité.

Cela signifie que bien que vos données et (la plupart) du contenu du site aient été envoyés via un tunnel SSL, le site a chargé des images via un tunnel non chiffré. Ce n'est pas un problème majeur dans la plupart des cas, bien que ce soit un problème que le développeur devrait absolument résoudre.

Cependant - "Dois-je me connecter ..." - Dans la plupart des cas (et dans le vôtre), c'est sûr pour vous connecter. Vos données seront toujours envoyées via le tunnel chiffré.

Ce que vous devez comprendre ici, c'est que certaines ressources (telles que des images ou des scripts) ont été chargées via HTTP , et c'est le problème:

| HTTPS | ------> | La plupart de la page | ---> | Ne peut pas être édité par l'attaquant |

| HTTP | -------> | Certaines ressources | ---> | Peut être édité par l'attaquant |

Si vous ne voyez pas le cadenas, vous pouvez vérifier la raison sur:

Pourquoi pas de cadenas?

Ce service autorise les paramètres de requête et fonctionne également avec des sites Web de commerce électronique tels que ShopSite, Magento, WooCommerce.

Cela m'aide beaucoup, en particulier lors du diagnostic d'un site Web.

Juste pour développer du côté d'Internet Explorer / Edge:

• Le site ne semble pas non plus sécurisé en un coup d'œil, et le contenu non sécurisé ne semble pas non plus mis en évidence
• Il affiche une erreur de sécurité sur la console ("La sécurité HTTPS est compromise par <url>")
• Vous pouvez les configurer pour toujours rejeter le contenu mixte
• Mixte le contenu actif est rejeté entièrement - aucun avertissement "site Web n'est pas sécurisé", le contenu actif non sécurisé ne fonctionne tout simplement pas.

IE est donc pleinement conscient des implications, mais les considère probablement comme non critiques - les informations ne sont pas divulguées au-delà de la limite et les images ne sont pas du contenu actif (bien qu'il puisse toujours y avoir un vecteur d'attaque, comme avec l'ancienne vulnérabilité WMF). Cela signifie toujours que vous pouvez recevoir des données qui ne sont pas fiables (ou chiffrées) - le raisonnement va probablement dans le sens de "si c'était important, ce serait sur HTTP; le site essaie probablement simplement d'économiser le processeur sur du contenu statique ".

Est-ce que cela peut encore être utilisé pour des exploits? Sûr. Par exemple, si vos boutons «oui» et «non» sont des images transportées via HTTP, un attaquant (MITM) pourrait les changer, de sorte que vous confirmiez une boîte de dialogue que vous vouliez rejeter. Cela peut être particulièrement problématique si le site Web autorise les URL qui demandent quelque chose comme "Voulez-vous envoyer tout votre argent à M. Hacker?" Mais ce n'est un problème que si le contenu lui-même est important - confidentiel, critique pour la sécurité, etc. Et bien sûr, le navigateur n'a aucun moyen de savoir si une ressource particulière est importante ou non - seul le développeur le fait (et les gens font des erreurs).

Il peut sembler que l'émission de l'avertissement est une bonne mesure de sécurité, mais ce n'est pas nécessairement le cas. Si vous voyez le même avertissement sur la moitié des pages que vous visitez, il perdra entièrement son effet - les gens apprendront simplement à l'ignorer (tout comme la première fois que IE vous a demandé si vous voulez autoriser l'envoi de contenu non sécurisé, vous coché "Ne plus me demander" et l'a autorisé, sans même s'en rendre compte - c'est la première chose que IE vous demande lorsque vous essayez de publier des données de formulaire de quelque nature que ce soit sur HTTP). Donc, vous choisissez vraiment entre deux mauvais, comme c'est généralement le cas avec toute conception non triviale - dans ce cas, un faux négatif contre un faux positif.

"Pas entièrement sécurisé" est également la façon dont Chrome décrit les sites Web qui utilisent des algorithmes de chiffrement qui ne sont plus considérés comme entièrement sûrs, mais qui sont trop répandus pour être complètement désactivés. Actuellement, le seul algorithme de ce type est SHA-1, et ils prévoient de le désactiver ce mois-ci (avec la sortie de la version 56), mais il pourrait se reproduire dans le futur.

Je pense qu'il vaut la peine de souligner que Chrome vous donnera également ce message s'il y a une balise form sur votre page avec une action non sécurisée. Chrome vient de m’afficher ce message:

Votre connexion à ce site n’est pas entièrement sécurisée

Les attaquants pourraient voir les images que vous vous regardez sur ce site et vous tromper en les modifiant.

Cela peut vous diriger dans la mauvaise direction si le problème est en fait un formulaire avec une action non sécurisée.

Alors, c'est bien:

  <form action = "https://www.example.com/ n'importe quoi.php ">  

et c'est mauvais:

  <form action =" http://www.example.com/wwhat.php "> 

Vous n'avez demandé aucun contenu à http://www.example.com/wwhat.php encore , mais si votre utilisateur soumet le formulaire, il ne sera pas sécurisé, d'où l'avertissement de Chrome.