Задать вопрос
@zapara
google-chrome

Google Chrome → HTTPS → Gmail — проблемы с SSL?

Здравствуйте!



Решил обратиться к хабра-сообществу за советом.



Использую последнюю версию Google Chrome v13.0.782.220 и заметил сомнительную особенность при работе с почтой Gmail. Cразу после авторизации браузер устанавливает безопасное соединение chrome_14679_greenhttps_en.png, но стоит мне открыть письмо от crm@pbank.com.ua (aka ПриватБанк), как тут же иконка становится серой − chrome_14679_yellowhttps_en.png.



Безопасное соединение с веб-сайтом chrome_14679_greenhttps_en.png



1f912ee5.png



Google Chrome обнаружил уязвимое содержание chrome_14679_yellowhttps_en.png



3aec07f8.png



Справка от Google: www.google.com/support/chrome/bin/answer.py?answer...



Как вы считаете, это из-за содержимого письма? В письме находится стандартная информация и два изображения. Склоняюсь к тому, что это косяк со стороны Приватбанка.
  • Вопрос задан
  • 7492 просмотра
Комментировать
Подписаться 2 Оценить Комментировать
Решения вопроса 1
burdakovd
@burdakovd
В данном случае это из-за картинок.
Письмо ссылается на картинки по http, не по https.
Злоумышленник, сидящий на проводе и перехватывающий ваш трафик, может подсмотреть и подменить эти картинки, и браузер этого не заметит. При этом несанкционированно изменится внешний вид страницы. Собственно это вам браузер и написал в своём предупреждении.

Если бы нешифрованно передавался js, то было бы ещё хуже (некоторые сайты так делают!), злоумышленник мог бы модифицировать js, для коварных манипуляций, но тогда иконка была бы перечеркнута красным.

Решение: не отображать картинки.

Или отображать картинки, игнорировать серый цвет, но тогда вы рискуете в следующем сценарии: если вдруг gmail (по ошибке) начнёт передавать CSS по голому http (вы этого не заметите, т.к. иконка уже была серая из-за картинок), злоумышленник сможет воспользоваться этим, изменить внешний вид управляющих и информационных элементов интерфейса и заставить вас выполнить с почтой определенные действия.
Ответ написан
1 комментарий
1 комментарий
Пригласить эксперта
Ответы на вопрос 2
@zapara Автор вопроса
Нажатие на «Картинки этого отправителя будут всегда отображаться. С этого момента не отображать.» решает проблему изменения статуса иконки: imageimage
Ответ написан
Комментировать
Комментировать
@bondbig
Да, такая ситуация возникает из-за того, что на странице смешанное содержимое, https+http. Чаще всего это картинки/фреймы в письмах.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Разработчик мобильных приложений/Android Developer - webview
MST
от 1 000 $
Специалист по контекстной рекламе, SEO
Rails Ларнака
от 50 000 ₽
Маркетолог
Fancy state Москва
от 60 000 до 80 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Создать логотип
19 апр. 2024, в 14:10
500 руб./за проект
Разработка дизайна мобильного приложения которое управляет вентиляцией
19 апр. 2024, в 14:01
70000 руб./за проект
Софт на js
19 апр. 2024, в 13:31
10000 руб./за проект
Ещё заказы