HTTP is een systeem voor het verzenden van gegevens van een webserver naar uw browser. HTTP is niet veilig, dus wanneer u een pagina bezoekt die via HTTP wordt verzonden, is uw verbinding kwetsbaar voor afluisteren en man-in-the-middle-aanvallen. De meeste websites worden via HTTP verzonden, omdat ze niets met het over en weer doorgeven van gevoelige informatie te maken hebben en niet hoeven te worden beveiligd.
Wanneer u een pagina bezoekt die volledig via HTTPS wordt verzonden, zoals die van uw bank, ziet u een groen hangslotpictogram hangslotpictogram in de adresbalk (zie voor details: Hoe weet ik of mijn verbinding met een website is beveiligd?). Dit betekent dat uw verbinding is geverifieerd en versleuteld en daardoor zowel tegen afluisteraars als man-in-the-middle-aanvallen is beveiligd.
Als de HTTPS-pagina die u bezoekt echter HTTP-inhoud bevat, kan het HTTP-gedeelte door aanvallers worden gelezen of aangepast, ondanks dat de hoofdpagina via HTTPS wordt verzonden. Wanneer een HTTPS-pagina HTTP-inhoud bevat, noemen we die inhoud ‘gemengd’. De pagina die u bezoekt is slechts gedeeltelijk versleuteld en hoewel deze beveiligd lijkt te zijn, is dat niet het geval. Voor meer informatie over gemengde inhoud (actief en passief), zie dit blogbericht.