Teraz rozumiem o co Ci chodzi. Cóż masz trochę masz racji.
Niestety nie da się na to nic poradzić, nie jest to błąd wdrożenia SSLa jak pisałeś a tylko to że internet nie jest siecią scentralizowaną i nie da się uniknąć linkowania do serwisów bez HTTPS.
Porównanie nijak ma się do tego co pisałem ;p

Jeśli za przykład weźmiemy nasze forum, to nie widzę problemu. Chyba jedyną treścią z innych domen, którą userzy mogą wstawiać - to właśnie te obrazki (nie w załączniku, a poprzez "Wstaw obrazek"). I teraz kilka możliwości, przy połączeniu SSL:

1. Skrypt tnie z postów linki img src - proste.
2. Skrypt ładuje hotlinkowany obrazek i wyświetla go z własnej domeny - niebezpieczne z wielu powodów (także prawnych) :) i zasobożerne. Jeśli już to ładowanie powinno być do cache + sprawdzanie czy img istnieje (ale to fail, z uwagi na to sprawdzanie)
3. Skrypt ciacha jak w pkt.1, ałe daje ajaxowy box, którym można wyświetlić na żądanie (bez uwierzytelniania).
4. Skrypt ciacha wszelkie obrazki (także avatary, buttony, banery itd), zarówno z domeny jak i spoza - oszczędzamy zasoby, bo SSL to ładnie ssie (zarówno serwer jak i browsera na wolniejszych komputerach). Wszelkie obrazki w postach mogłyby być w ajaxowym boxie (user klika i dopiero widzi - uwierzytelnione, szyfrowane)

Nie jest to kosmos do wdrożenia, w miarę prosta sprawa. Pkt 4 jest najlepszy.

I upieram się, że nie zrobienie powyższego byłoby failem we wdrożeniu zabezpieczenia :) To tak jakby założyć kłódkę na drzwi, które z zawiasów wylatują od kopniaka.
O, masz na niebezpieczniku: http://niebezpiecznik.pl/post/kraty-...ia-w-kartonie/
SSL wdraża się m.in. dla poufności, a co to za poufność gdy ruski serwer widzi, że oglądam cycki w Śmietniku :)

//edit
inna sprawa to gemiusy, adserwery itd, ale to już osobna sprawa

Ale całe cdrinfo leci wtedy po SSL, treści ładowane z poza serwera idą ewentualnie po HTTP. Twoja sesja jest zabezpieczona i nikt jej nie przechwyci ani nie podsłucha, co najwyżej zobaczy że przeglądasz jakieś obrazki z domen całkiem innych niż cdrinfo ;) Jedynie serwer na którym są te obrazki będzie wiedział z jakiego adresu zostały ładowane.

Dokładnie tak jak mówisz.

Problem polega na tym, że gdy wchodzę na witrynę tak mocno zabezpieczoną (czyli SSL) intuicyjnie zakładam, że jej admin zapewnił mi poufność we wszelkich aspektach (także tych, których SSL z natury rzeczy nie obejmuje).
Myślę, że ZU który nie rozumie co to SSL, a widzi te kłódki i pieczęcie - czyni to samo założenie.
Stąd jeśli jest solidna kłódka (SSL) to muszą być i kraty ;)


---------------------------------------
A co do metody ataku przez te "obrazki", o których tyle rozpisaliśmy się (ale przynajmniej dogadaliśmy się :) ) proponuję ten link:


Uwaga: ten link jest całkowicie bezpieczny, o ile nie podasz w okienku, które wyskoczy - prawdziwego loginu z tego forum. Gwarantuję! Niech mnie Bartezu zabije, jeśli jest inaczej. Podaj wymyśloną nazwę, która zupełnie Ciebie nie identyfikuje.

Po wypełnieniu prośby o name i uważnym przeczytaniu komunikatów będzie jasne, dlaczego prosiłem o zmianę nicka :)

Linka przeklejamy, a nie klikamy, bo to nie mój serwer i wolę nie ryzykować słowem za to co on ew. zbiera (kto nie wie co może zbierać, niech po prostu przekleja :) )
Wypelnić "name" i kliknąć ten guzik z głupimi napisami.
------------------------------------

Stare ;p Na szczęści jestem przed takimi rzeczami zabezpieczony ;)
"Good boy, PALI! You didn't watch any porn recently."
http://img580.imageshack.us/img580/8/screen005l.png :P

Problemem nie jest SSL a NIEWIEDZA zwykłych osób.

andy odpalił kartę prywatną :]

heh, no nie musiałeś zdradzać :)

A co tam masz włączone, tryb prywatny?


-----------------------

Nie tylko niewiedza.
Zobacz, otwieram wątek na forum, spodziewam się, że całość idzie po SSL, a tu mi wyskakuje content z innej domeny. I co? Skąd mam wiedzieć zawczasu, że tak nie jest?

Of course, browser ostrzeże, o ile jako ZU nie wyłączyłem ostrzeżenia... Bo np. wyskakiwały ciągle przy wielu innych takich witrynach....

Nie powinna tym sterować przeglądarka, moim zdaniem, tylko witryna powinna być odpowiednio zrobiona.

Nic z tych rzeczy. Historię mam aktywną, trybu prywatnego nie włączałem ;) W FF miałem zainstalowane rozszerzenie link status, które min. blokowało ten atak.
FF4 nie jest podatny na ten atak więc rozszerzenie jest zbędne ;)

Na Operce/IE/Safari/Chrome wyświetla jak się oglądało ? :>
Temat na dłuższą polemikę ;) No ale to nie miejsce tutaj. Bartez już wyjasnił, że nici z tego więc temat można zostawić.

Lekarstwo na 49% badzewia roznoszącego się przez www to nie instalowanie lub odinstalowanie JAVY.
Wszystkie fake antywirusy, antymalware co to pięknie wyglądają i udają skanowanie pracują właśnie na tym.
Ostatnio strona Smartka padła atakiem tego,
btw nawet nie wiem czy to naprawił - ale wolę nie sprawdzać.

Te fałszywe antywirusy potrzebują interakcji ze strony użytkownika - same sięnie ładują (no chyba, że jesteś *****em i nie aktualizujesz maszyny regularnie to wtedy zaaplikują ci jakiegoś exploita..)

Na stronę Smarka ktoś się włamał i umieścił linka do skryptu JS, który ładował exploita. Na szczęście tamta domena od jakiegoś czasu jest "offline" i nie miało co Ci się odpalić - wiem bo manualnie próbowałem odpalić ten skrypt ;)

A jakże, wyświetla (fx 3.6, opera też):

Załącznik 56721
kiszka to ja, sam wszedłem

Zauważ, że przy hotlinku jpeg mozna to inaczej wybadać, didyouwatchporn cache nie sprawdza - ale to już faktycznie temat na inną dyskusję, masz rację.
Dobranoc :)

Dokładnie JS'y w linkach na stronach... popularna sprawa.
No i nie jestem... nie wiem co tam cenzura wycięła :P


Nie wiem od jakiego czasu ale totalnie rozwaliło to system na VPC, szkoda, że screenów nie porobiłem,
nie mam powodów by zmyślać... zassał się fake antywir, który ściągał rootkity.
Po tamtym eksperymencie usunąłem Javę, bo i tak z niej teraz nie korzystam.

PS
Co gorsza Smartek tego nie wyciął chyba - avast mi się pluje cały czas, JS: Downloader po wejściu na jego stronę.

md5 + salt indywidualny dla każdego usera + id aplikacji i to wszystko ładnie wymieszane :)

Co do tematu uwierzytelniania SSL - wszędzie, gdzie mamy do czynienia z treścią generowaną przez użytkownika (User Generated Content) problem będzie istniał. Tylko w przypadku stron, które są zamkniętą całością (np strona banku) i nie ma możliwości dodawania własnej treści SSL zapewnia 100% wiarygodności strony. Oczywiście można zrobić coś z tych punktów, które wymienił pali. Z tego co się orientuję np facebook nie umożliwia bezpośredniego linkowania do obrazków, jeżeli połączenie jest po https.

Na FB dla Polski SSL włączyli. Jednak nie działa to jeszcze dość dobrze, przy zaznaczonej opcji SSL nie działa czat...

SOA#1
http://img267.imageshack.us/img267/2593/screen002p.png