In poche parole, sta dicendo che mentre il nucleo della pagina utilizza https (sicuro) per ottenere quelle informazioni sul tuo computer, quella pagina (sicura) fa riferimento a elementi non sicuri (come immagini e possibilmente script).

Gli aggressori non possono modificare direttamente la pagina originale, ma possono modificare gli elementi non sicuri. Se quelle sono immagini, possono cambiare l'immagine. Se questi sono script, possono cambiare anche quelli. In questo modo, gli aggressori potrebbero cambiare ciò che vedi, anche se la pagina principale era "sicura".

Come sottolinea Michael Kjörling nei commenti, questo espone anche alcune delle tue informazioni in queste richieste - potenzialmente cookie (se è lo stesso sito / corrisponde ai siti cookie / lo sviluppatore non ha specificato solo la sicurezza), referrer, ecc., che nel migliore dei casi potrebbero far trapelare alcune informazioni su ciò che si sta facendo e nel peggiore dei casi potrebbero consentire determinati attacchi.

Questa è una cattiva pratica da parte dello sviluppatore web: tutti gli elementi dovrebbero utilizzare il trasporto sicuro.

Potresti (potenzialmente) migliorare la tua situazione utilizzando un plug-in del browser che si aggiorna automaticamente tutte le richieste da http a https.

L'avviso indica che alcuni elementi passivi della pagina (elementi passivi sono cose come immagini, video, audio e così via) sono stati caricati su una connessione non sicura. Nessun contenuto attivo, ovvero contenuto che potrebbe accedere al tuo nome utente o password (principalmente script, ma anche iframe), è stato caricato su una connessione non sicura, quindi inserire la tua password in quella pagina è altrettanto sicuro come se il messaggio di avviso non fosse lì .

Ci sono due ragioni per cui i browser ti avvisano del contenuto misto passivo. L'ovvio è che un utente malintenzionato potrebbe sostituire le immagini insicure con qualcos'altro. Il rischio più sottile è che se un utente malintenzionato può vedere quali immagini sono caricate sulla pagina, potrebbe essere in grado di correlarle con le pagine del sito che caricano quelle immagini e utilizzarle per determinare quale pagina del sito stai visualizzando . Nel tuo caso, non importa, ma per alcuni siti HTTPS viene utilizzato in parte per impedire a un intercettatore di determinare quale parte di un sito stai visualizzando.

Se la pagina è stata caricata tramite HTTPS, e c'è un contenuto attivo misto, il che significa che non sarebbe sicuro inserire la tua password, il tuo browser bloccherà lo script automaticamente, quindi non è un rischio. Se decidi di volere lo script, questo contrassegna in modo molto evidente il sito come non sicuro.

Prima di caricare il contenuto non sicuro:

Dopo aver fatto clic su "Carica script non sicuri":

a condizione che l'URL inizi https: / / e non ci sono avvisi di sicurezza evidenti, puoi inserire la tua password in sicurezza.

Significa che la pagina web non mostra tutto il suo contenuto sul protocollo https. Ha alcune parti che utilizzano http. Il contenuto misto non è buono e questo genera l'avviso che stai vedendo sui browser perché parte del contenuto può essere visualizzato in modo semplice.

Forse alcune immagini esterne caricate come <img src = "http: // somewhere.net "> o qualche javascript, css o altro.

Microsoft Edge è troppo fiducioso, credo. :)

Il sito sta caricando contenuti misti, alcuni contenuti come immagini e css verranno caricati su un canale non sicuro mentre il contenuto del sito principale viene servito su HTTPS. Questo è spesso il caso quando lo stile / le immagini vengono estratti da CDN.

In teoria, gli elementi insicuri potrebbero essere l'uomo nel mezzo e modificati a tua insaputa per servire contenuti dannosi.

Chrome ti avvisa di questo tipo di problemi più di altri browser ed è bene essere cauti. Se hai una storia di fiducia in questo sito ed è rispettabile, probabilmente è sicuro continuare. Se non l'hai mai visto prima per un sito di cui ti fidi, potresti consigliare agli sviluppatori cosa è successo.

Ricorda che questo avrebbe bisogno di un utente malintenzionato attivo per monitorare la tua connessione per poter sfruttare questa vulnerabilità.

Ciò significa che, sebbene i tuoi dati e (la maggior parte) del contenuto del sito siano stati inviati tramite un tunnel SSL, il sito ha caricato le immagini su un tunnel non crittografato. Questo non è un problema importante nella maggior parte dei casi, anche se è un problema che lo sviluppatore dovrebbe assolutamente risolvere.

Tuttavia - "Dovrei accedere ..." - Nella maggior parte dei casi (e nel tuo) è sicuro per accedere. I tuoi dati verranno comunque inviati tramite il tunnel crittografato.

Quello che devi capire qui è che alcune risorse (come immagini o script) sono state caricate su HTTP , e questo è il problema:

| HTTPS | ------> | La maggior parte della pagina | ---> | Non può essere modificata dall'autore dell'attacco |

| HTTP | -------> | Alcune risorse | ---> | Può essere modificato da un utente malintenzionato |

Se non vedi il lucchetto, puoi verificarne il motivo su:

Why No Padlock?

Questo servizio consente parametri di query e funziona anche con siti di e-commerce come ShopSite, Magento, WooCommerce.

Questo mi aiuta molto, soprattutto durante la diagnosi di un sito web.

Solo per espandere il lato di Internet Explorer / Edge:

• Il sito non sembra essere insicuro a prima vista e il contenuto non sicuro non sembra essere evidenziato
• Stampa un errore di sicurezza sulla console ("La sicurezza HTTPS è stata compromessa da <url>")
• Puoi configurarli per rifiutare sempre contenuti misti
• Misti attivo viene rifiutato completamente: nessun avviso "il sito web è insicuro", il contenuto attivo insicuro semplicemente non viene eseguito.

Quindi IE è pienamente consapevole delle implicazioni, ma molto probabilmente li considera non critici: le informazioni non vengono trapelate oltre il confine e le immagini non sono contenuti attivi (sebbene potrebbe ancora esserci un vettore di attacco, come con la vecchia vulnerabilità WMF). Ciò significa comunque che è possibile fornire dati non affidabili (o crittografati): il ragionamento è probabilmente sulla falsariga di "se fosse importante, sarebbe su HTTP; il sito probabilmente sta solo cercando di salvare la CPU su contenuto statico ".

Può ancora essere utilizzato per gli exploit? Sicuro. Ad esempio, se i pulsanti "sì" e "no" sono immagini trasportate su HTTP, un utente malintenzionato (MITM) potrebbe scambiarle, in modo da confermare una finestra di dialogo che si desidera rifiutare. Ciò potrebbe essere particolarmente problematico se il sito Web consente URL che richiedono qualcosa come "Vuoi inviare tutti i tuoi soldi a Mr. Hacker?" Ma è un problema solo se il contenuto stesso è importante: confidenziale, critico per la sicurezza e simili. E, naturalmente, il browser non ha modo di sapere se una particolare risorsa è importante o meno, solo lo sviluppatore lo fa (e le persone commettono errori).

Potrebbe sembrare che l'emissione dell'avviso sia una buona misura di sicurezza, ma non è necessariamente così. Se vedi lo stesso avviso su metà delle pagine in cui vai, perderà completamente il suo effetto: le persone impareranno semplicemente a ignorarlo (proprio come la prima volta che IE ti ha chiesto se vuoi consentire l'invio di contenuti non sicuri, spuntato "Non chiedermelo più" e permesso, senza nemmeno rendersene conto - è la prima cosa che IE ti chiede quando provi a inviare dati di un modulo di qualsiasi tipo su HTTP). Quindi stai davvero scegliendo tra due cattivi, come di solito accade con qualsiasi progetto non banale, in questo caso, un falso negativo contro un falso positivo.

"Non completamente sicuro" è anche il modo in cui Chrome descrive i siti web che utilizzano algoritmi di crittografia che non sono più considerati del tutto sicuri, ma sono troppo diffusi per essere disattivati ​​completamente. Attualmente, l'unico algoritmo di questo tipo è SHA-1 e hanno in programma di disattivarlo questo mese (con il rilascio della versione 56), ma potrebbe ripresentarsi in futuro.

Penso che valga la pena sottolineare che Chrome ti fornirà questo messaggio anche se sulla tua pagina è presente un tag form con un'azione action non sicura. Chrome mi ha appena visualizzato questo messaggio:

La tua connessione a questo sito non è completamente sicura

Gli aggressori potrebbero essere in grado di vedere le immagini che hai stai guardando su questo sito e ingannandoti modificandoli.

Questo può indirizzarti completamente nella direzione sbagliata se il problema è in realtà un modulo con una action non sicura.

Quindi, va bene:

  <form action = "https://www.example.com/ any.php ">  

e questo è un male:

  <form action =" http://www.example.com/wwhat.php "> 

Non hai ancora richiesto alcun contenuto da http://www.example.com/w Any.php , ma se il tuo utente invia il modulo, non sarà sicuro, da qui l'avviso di Chrome.