Действительно ли это проблема безопасности, если на странице ssl есть незащищенные ресурсы?

Насколько я понимаю, это всего лишь пример чрезмерной осторожности, но если моя форма оформления заказа содержит небезопасный актив, это не подвергает опасности чьи-либо номера кредитных карт быть пойманными посредником.

Я спрашиваю об этом, потому что время от времени, может быть, из-за кэшированного содержимого или чего-то еще, кто-то пишет, что видит эту «ошибку» (хотя на моей странице нет незащищенных ресурсов), но ему нужно объяснение.

Так что да, я могу рассказать все о шифровании и сертификатах, о доверии и о людях посредине. Но что я им скажу по этому поводу. Как мне убедить их в том, что сайт безопасен на 100% (и если это не так, дайте мне знать, что я ошибаюсь!)

Уязвимость «смешанного скриптинга» возникает, когда страница, обслуживаемая по HTTPS, загружает скрипт, CSS или ресурс плагина по HTTP. Злоумышленник типа «человек посередине» (например, кто-то в той же беспроводной сети) обычно может перехватить загрузку ресурса HTTP и получить полный доступ к веб-сайту, загружающему ресурс. Это часто так плохо, как если бы веб-страница вообще не использовала HTTPS.

http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html

Исследователи безопасности и многие веб-разработчики хорошо понимают и ясно формулируют угрозу. Есть 3 простых шага, чтобы атаковать пользователя через уязвимость смешанного контента ...

1) Настройте атаку «Человек посередине». Это легче всего сделать в общественных сетях, например, в кофейнях или аэропортах.

2) Используйте уязвимость смешанного содержимого для внедрения вредоносного файла JavaScript. Вредоносный код запускается на веб-сайте HTTPS, к которому обращается пользователь. Ключевым моментом является то, что сайт HTTPS имеет смешанную уязвимость контента, что означает, что он выполняет контент, загруженный через HTTP. Именно здесь атака «Человек посередине» и уязвимость смешанного контента объединяются в опасный сценарий.

«Если какой-то злоумышленник может изменить файлы Javascript или таблицы стилей, он также может эффективно изменить другой контент на вашей странице (например, изменив DOM). Так что или все или ничего. Либо все ваши элементы обслуживаются с использованием SSL, тогда вы в безопасности. Или вы загружаете некоторые файлы Javascript или таблицы стилей из простого HTTP-соединения, и вы больше не защищены ».

3) Украсть личность пользователя (или делать другие плохие вещи).

http://ie.microsoft.com/testdrive/Browser/MixedContent/Default.html?o=1

Похожий вопрос: /programming/3778819/browser-mixed-content-warning-whats-the-point