在ssl页面上拥有非安全资产真的是一个安全问题吗？

Question

我的理解是，这只是一个过度谨慎的例子，但如果我的结帐表上包含一项不安全的资产，这不会危及任何人的信用卡号码，以免被中间人抓住。

我之所以问这个问题，是因为每隔一段时间，可能是因为缓存的内容或诸如此类的原因，有人在写到他们看到了这个“错误”(尽管我的页面上没有不安全的资产)，但是他们想要一个解释。

所以是的，我可以告诉所有关于加密、证书、信任和中间人的事情。但我该怎么跟他们说。我如何让他们相信这个网站是100%安全的(如果它不是让我知道我错了！)

Answer 1

当在HTTPS上服务的页面通过HTTP加载脚本、CSS或插件资源时，会产生“混合脚本”漏洞。中间人攻击者(例如同一无线网络上的人)通常可以拦截HTTP资源负载，并获得对加载资源的网站的完全访问权。如果网页根本没有使用过HTTPS，这往往是很糟糕的。

http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html

安全研究人员和许多web开发人员很好地理解和表达了这一威胁。有三个简单步骤可以通过混合内容漏洞…攻击用户。( 1)策划一次中间人攻击。这些工作最容易在公共网络上进行，比如咖啡店或机场的网络。2)使用混合内容漏洞注入恶意javascript文件。恶意代码将在用户浏览器访问的HTTPS网站中运行。关键是HTTPS站点上存在一个混合内容漏洞，这意味着它执行通过HTTP下载的内容。这就是中间人攻击和混合内容漏洞合并成一个危险的场景的地方。“如果攻击者能够篡改Javascript或样式表文件，那么他也可以有效地篡改页面上的其他内容(例如修改DOM )。所以要么全部要么什么都没有。如果您的所有元素都使用SSL提供服务，那么您就安全了。或者从一个普通的HTTP连接加载一些Javascript或样式表文件，那么您就不再安全了。“- me 3)窃取用户的身份(或者做其他坏事)。

http://ie.microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1

相关问题：https://stackoverflow.com/questions/3778819/browser-mixed-content-warning-whats-the-point