Avec tous les ennuis que l’on peut rencontrer sur Internet, c’est toujours une bonne idée d’avoir une connexion aussi sécurisée que possible. Mais que faites-vous lorsque votre navigateur indique qu’un site Web sécurisé n’est pas entièrement sécurisé? La publication de questions et réponses SuperUser d’aujourd’hui a la réponse à une question de lecteur inquiet.

La séance de questions-réponses d’aujourd’hui nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement communautaire de sites Web de questions-réponses.

La question

Le lecteur SuperUser David Starkey veut savoir pourquoi son navigateur dit qu’un site Web sécurisé n’est pas entièrement sécurisé:

J’accédais à Pandora via SSL et j’ai remarqué quelques icônes par l’URL. Le premier point d’exclamation dans un triangle indique que la page n’est pas entièrement sécurisée.

pourquoi-mon-navigateur-dit-un-site Web-sécurisé-n'est-pas-entièrement-sécurisé-01

À côté se trouve un bouclier. Celui-ci indique que le contenu non sécurisé est bloqué.

pourquoi-mon-navigateur-dit-un-site-sécurisé-n'est-pas-entièrement-sécurisé-02

Ces déclarations, du moins pour moi, semblent se contredire. Quelqu’un peut m’expliquer cela? Ma connexion est-elle sécurisée ou non? J’ai accédé au site Web de Pandora en utilisant Firefox 30.0 sur Windows 7. J’ai également installé HTTPS Everywhere.

Qu’est-ce qui se passe ici? La connexion de David au site Web de Pandora est-elle sécurisée ou non?

La réponse

Redburn contributeur SuperUser a la réponse pour nous:

C’est ce qu’on appelle une page de «contenu mixte». Du réseau de développeurs Mozilla (contenu mixte):

  • Si la page HTTPS comprend du contenu récupéré via un HTTP normal et en texte clair, la connexion n’est que partiellement cryptée: le contenu non crypté est accessible aux renifleurs et peut être modifié par des attaquants man-in-the-middle, et donc la connexion n’est plus protégée. . Lorsqu’une page Web présente ce comportement, elle est appelée contenu mixte page.

Les déclarations ne sont pas contradictoires, mais complémentaires et peut-être un peu déroutantes. Le premier dit que la page elle-même n’est pas entièrement sécurisée car elle contient des éléments non chiffrés (tous les navigateurs Web vous en informeront), tandis que le second note que ces éléments ont été automatiquement bloqués par Firefox.

Si Firefox ne bloquait pas les éléments non chiffrés, alors à proprement parler, la page ne serait pas sécurisée.

HTTPS Everywhere ne garantit pas une connexion sécurisée. Il essaiera de forcer HTTPS uniquement lorsqu’il sera disponible; si ce n’est pas le cas, il n’y a rien qu’un utilisateur ou un navigateur puisse faire à ce sujet en dehors de bloquer le contenu non sécurisé.


Vous avez quelque chose à ajouter à l’explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d’autres utilisateurs de Stack Exchange avertis en technologie? Consultez le fil de discussion complet ici.

Laisser un commentaire