Есть страница с логином/паролем (например https:// login . site . com), которая при авторизации отправляет данные по HTTPS.
На такой странице, к примеру, подгружается по HTTP (не SSL!) и выполняется яваскрипт с другого, пусть и доверенного источника. Получается, здесь есть высокие риски MITM перехвата таких данных путем легкой подстановки "левого" скрипта, который отправит введенные данные злоумышленникам.
А существуют ли риски подобного MITM перехвата, если на странице по HTTP с другого (пусть и доверенного) источника подгружаются :
1. стили или шрифты со стороннего источника
2. картинки или другие медиа-элементы
3. iframe
4. какие-либо другие элементы? если да, то какие ?
I like Python, Node.JS, Go, pain, bugs and my cat.
Да, можно подменить что угодно, но особенно опасно подмена js и html. Если есть запросы к серверу то их ответы можно подменить, главное не запихивать данные без экранирования в дом.
Хотя полностью решить проблему сложно даже используя ssl, существуют способы для обхода (хотя и защита от этого есть)
Значит ли это, что если браузер на странице ввода/логина пароля любого сайта пишет, что "подключение защищено не полностью", в частности в адресной строке есть HTTPS, но отсутствует замочек, то не имеет значения, что там грузится на странице по HTTP, т.к. пароль в таком случае всегда можно увести используя MITM ?
Получается, здесь есть высокие риски MITM перехвата таких данных путем легкой подстановки "левого" скрипта, который отправит введенные данные злоумышленникам.
Советую взять и протестировать, и вопрос отпадёт сам собой.
Средний
