不安全的内容如何影响我的安全?

注意:更新您的 Firefox 以便畅享最新功能。

当访问应该是完全安全却包含不安全内容的网页时,Firefox会阻止不安全的内容并在地址栏中显示盾牌图标。我们将解释什么是混合内容、Firefox为什么会阻止它,以及你有什么选项可用。

Insecure1 34 - Win

Insecure1 39 - Lin en

什么是混合内容

HTTP 是一种从网页服务器将信息传递到您的浏览器的系统。HTTP 并不是安全的,所以当您访问一个通过 HTTP 提供的页面时,您的连接正面临窃听和中间人攻击的风险。大多数网站都使用 HTTP 提供服务,因为它们不涉及敏感信息的传输,因而无需采取加密措施。

当您访问一个完全通过 HTTPS 提供的页面时(例如银行服务),您将看到地址栏中有绿色挂锁图标(详见站点标识按钮)。这表示您的连接经过身份验证和加密,从而防止窃听和中间人攻击。

但是,如果您访问的 HTTPS 页面中含有 HTTP 内容,即使页面主体内容以 HTTPS 提供,HTTP 的部分仍然可被攻击者读取和篡改。当某个 HTTPS 页面含有 HTTP 内容时,我们称它为“混合内容”。这种页面仅被部分加密,尽管有些人认为这样是安全的,但事实并非如此。

注:有关混合内容的更多信息(主动或被动),请参阅这篇博文(英文)。

混合内容的风险

攻击者可以替换您访问页面中的 HTTP 内容,从而使他们可以窃取您的身份凭据、使用您的账户、获取您的敏感数据,以及在您的计算机上安装恶意软件。

我有什么操作可选?

通常情况下,您不需要对此进行任何操作,因为大多数网站在这种情况下仍能正常工作。

如果您需要允许加载、显示或执行这些混合内容,您也可以轻松做到:

  • 在地址栏单击盾牌图标 Mixed Content Shield ,然后点击 选项 并选择 临时解除保护
Insecure2 34 - Win

Insecure2 39 - Lin en

  • 地址栏中的图标会变成一个橙色的警告三角形 Warning Identity Icon 以提示你正在显示不安全内容。

当不安全的内容被显示时,盾形图标中间会有一道红线划过。如果要重新阻止混合内容,点击盾形图标,然后点击 选项 并选择 开始保护

Insecure3 34 - Win

Insecure3 39 - Lin en 当你在同一标签页浏览其它网页后再返回,或者在新的标签页浏览同一网页时,不安全内容也会自动被重新阻止。

图标是灰色三角形

Mixed passive content

Mixed passive content fx39 Linux en 只有可能有害的 HTTP 内容被屏蔽,所以网站可能仍有其他 HTTP 内容(比如图片、视频或音频)。在这种情况下,Firefox 与该网站之间的连接仍是部分加密,并不应该认为能安全的避免窃听,所以 gray triangle icon.

Firefox会通过阻止潜在有害和不安全的网页内容(本来应该是安全的)来保护你免受攻击。请继续阅读以了解更多关于混合内容的知识以及如何辨别Firefox何时会阻止它。

什么是混合内容

HTTP 是一种从网页服务器将信息传递到您的浏览器的系统。HTTP 并不是安全的,所以当您访问一个通过 HTTP 提供的页面时,您的连接正面临窃听和中间人攻击的风险。大多数网站都使用 HTTP 提供服务,因为它们不涉及敏感信息的传输,因而无需采取加密措施。

当您访问一个完全通过 HTTPS 提供的页面时(例如银行服务),您将看到地址栏中有绿色挂锁图标(详见站点标识按钮)。这表示您的连接经过身份验证和加密,从而防止窃听和中间人攻击。

但是,如果您访问的 HTTPS 页面中含有 HTTP 内容,即使页面主体内容以 HTTPS 提供,HTTP 的部分仍然可被攻击者读取和篡改。当某个 HTTPS 页面含有 HTTP 内容时,我们称它为“混合内容”。这种页面仅被部分加密,尽管有些人认为这样是安全的,但事实并非如此。

注:有关混合内容的更多信息(主动或被动),请参阅这篇博文(英文)。

混合内容的风险

攻击者可以替换您访问页面中的 HTTP 内容,从而使他们可以窃取您的身份凭据、使用您的账户、获取您的敏感数据,以及在您的计算机上安装恶意软件。

如何分辨网页是否有混合内容?

查看地址栏中的图标可以看出网页是否有混合内容。

mixed content icon url 42

无混合内容:安全

  • green lock 42 :当网页没有试图加载任何不安全元素时,图标是表示完全安全的绿色锁形图标。

混合内容被阻止:安全

  • blocked secure 42 :当Firefox阻止了网页的不安全内容时,图标是带有灰色警告三角形的绿色锁形。它表示网页目前是安全的。点击图标并打开 Control Center 来了解关于该网页的更多安全细节。

混合内容未被阻止:不安全

  • unblocked mixed content 42 :如果图标是带有红线的锁形,那么Firefox并没有阻止不安全的元素。该网页暴露在窃听和攻击之下,你的网页隐私数据可能被偷盗。除非你用下节介绍的方法阻止了混合内容,你不应该看到这个图标。
  • orange triangle grey lock 42 :如果图标是带有橙色三角形的灰色锁形,那么说明Firefox没有阻止被动的不安全内容。攻击者可能会操纵部分网页内容,比如,显示误导或不适的内容,但是他们应该无法从该网页盗取你的个人数据。

未被阻止的混合内容

我们不建议不阻止不安全的元素,但是如果必要的话,你可以通过以下步骤做到:

  1. 点击地址栏的锁形图标。
  2. 点击控制中心上的箭头:
    unblock mixed content 42
  3. 点击 临时解除保护
    disable protection 42

要重新保护,请按以上步骤然后点击 开始保护

警告: 不阻止不安全的内容将使你暴露于攻击之下。
开发者: 如果你的网页由于不安全内容而报错时,请查看此MDN文章 how to fix a website with mixed content.

这篇文章对您有帮助吗? 请稍候...

这些人帮助撰写了这篇文章:yfdyh000, xcffl, Jack_No1_2013, innki, wxie2016。你也可以提供帮助,来看看该怎么做