
<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Dec 17, 2014 at 2:56 PM, Tanvi Vyas <span dir="ltr"><<a href="mailto:tvyas@mozilla.com" target="_blank">tvyas@mozilla.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

  

    

  

  <div bgcolor="#FFFFFF" text="#000000"><span class="">

    On 12/16/14 10:57 AM, Chris Peterson wrote:<br>

    </span><blockquote type="cite"><span class="">

      

      On 12/15/14 11:29 AM, Martin Thomson wrote:<br>

      </span><span class=""><blockquote type="cite">

        <div dir="ltr">

          <div class="gmail_extra">I think that the real problem to talk

            about is the presence of warning icons for HTTPS origins

            with passive mixed content.  Those sites currently look

            worse than cleartext and that doesn't sit well with me.<br>

          </div>

        </div>

      </blockquote>

      <br>

      That is a good question: why does the user care about (passive)

      mixed content warnings? Is there any user risk if the Firefox

      address bar displays mixed content sites with the plain HTTP icon

      (while still using HTTPS connections underneath)?<br>

    </span></blockquote>

    We shouldn't tell the user they are visiting the site over HTTP if

    they are in fact using HTTPS.</div></blockquote><div><br></div><div>Let's not overrotate on what we _think_ that icon means.  HTTP is an implementation detail.  We can make icons that mean "insecure" "encrypted" "validated" and act accordingly.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div bgcolor="#FFFFFF" text="#000000">The page will have access to cookies

    that are marked for secure origins only, for example.  Mixed passive

    content leaks information about the page the user is visiting and

    leaks cookies associated with the domain the passive content is

    sourced from.  Moreover, a MITM can change what the page looks like

    (ex: replace an icon to reply to a message with an icon to delete a

    message).<br></div></blockquote><div><br></div><div>We could (should?) change the cookie behaviour, i.e. secure cookies aren't accessible to JS if the page isn't fully secure.</div><div><br></div><div>The rest feels like "if we tell the user this info, they can know they're potentially hacked" which feels more like "blame the victim" design.  If mixed content is worse than straight HTTP, that is (to me) a bug we should address, rather than leave to users to see.</div><div><br></div><div>-- Mike</div></div></div></div>