Google Chrome → HTTPS → Gmail — проблемы с SSL?

Здравствуйте!



Решил обратиться к хабра-сообществу за советом.



Использую последнюю версию Google Chrome v13.0.782.220 и заметил сомнительную особенность при работе с почтой Gmail. Cразу после авторизации браузер устанавливает безопасное соединение chrome_14679_greenhttps_en.png, но стоит мне открыть письмо от crm@pbank.com.ua (aka ПриватБанк), как тут же иконка становится серой − chrome_14679_yellowhttps_en.png.



Безопасное соединение с веб-сайтом chrome_14679_greenhttps_en.png



1f912ee5.png



Google Chrome обнаружил уязвимое содержание chrome_14679_yellowhttps_en.png



3aec07f8.png



Справка от Google: www.google.com/support/chrome/bin/answer.py?answer...



Как вы считаете, это из-за содержимого письма? В письме находится стандартная информация и два изображения. Склоняюсь к тому, что это косяк со стороны Приватбанка.
  • Вопрос задан
  • 7493 просмотра
Решения вопроса 1
burdakovd
@burdakovd
В данном случае это из-за картинок.
Письмо ссылается на картинки по http, не по https.
Злоумышленник, сидящий на проводе и перехватывающий ваш трафик, может подсмотреть и подменить эти картинки, и браузер этого не заметит. При этом несанкционированно изменится внешний вид страницы. Собственно это вам браузер и написал в своём предупреждении.

Если бы нешифрованно передавался js, то было бы ещё хуже (некоторые сайты так делают!), злоумышленник мог бы модифицировать js, для коварных манипуляций, но тогда иконка была бы перечеркнута красным.

Решение: не отображать картинки.

Или отображать картинки, игнорировать серый цвет, но тогда вы рискуете в следующем сценарии: если вдруг gmail (по ошибке) начнёт передавать CSS по голому http (вы этого не заметите, т.к. иконка уже была серая из-за картинок), злоумышленник сможет воспользоваться этим, изменить внешний вид управляющих и информационных элементов интерфейса и заставить вас выполнить с почтой определенные действия.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
@zapara Автор вопроса
Нажатие на «Картинки этого отправителя будут всегда отображаться. С этого момента не отображать.» решает проблему изменения статуса иконки: imageimage
Ответ написан
Комментировать
@bondbig
Да, такая ситуация возникает из-за того, что на странице смешанное содержимое, https+http. Чаще всего это картинки/фреймы в письмах.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы