亲爱的生活黑客，谷歌Chrome的安全挂锁把我吓坏了。当我在一些应该安全的网站上工作时，比如说，gmailchrome会警告我页面不安全。这是怎么回事？

签名，对安全敏感

嘿，StS，这个问题我们已经听过好几次了，虽然你可以在他们的帮助页面上看到很多关于Chrome网站安全指标的信息，但我和Google Chrome团队的高级产品经理Ian Fette谈过，想更清楚地了解为什么Gmail账户会出现这种情况，以及为什么大多数时候，你不必太在意。这是我学到的。

了解chrome的安全指标

Chrome的地址栏在你访问的网站的URL旁边显示几个图标中的一个，这些图标表示你是否在安全的网站上浏览。

如果您正在浏览使用HTTPS（HTTP的安全加密版本）的站点，您将看到挂锁图标的某些版本，并且您可能会看到扩展验证（EV）指示器，也可能不会看到。例如，如果你去银行，你经常会看到一个绿色的条，表明一个网站有一个EV证书。这基本上是额外的文件，证明他们是他们所说的公司。

EV是Chrome做的最有帮助的事情，它可以帮助你知道一个网站是谁说的，但不是所有的网站都有这个功能；事实上，除了处理金钱或安全的网站（比如银行或密码管理工具LastPass的网站）之外，大多数网站都没有。当站点不提供EV时，您将看到锁（这意味着您仍然使用HTTPS连接连接到站点）或globe（这意味着您正在使用未加密的HTTP连接进行浏览）。

如果你在地址栏中看到地球仪，请记住，你在该页面上看到的所有内容也可能被同一公共网络上的其他人看到，因为你和共享公共Wi-Fi的人可能会妨碍你的身份验证cookies，比如说，像你一样浏览Facebook(这就是Firesheep的工作原理。）

从安全角度来看，绿锁是理想的图标。如果你看到这个，你就知道你在一个安全的HTTPS网站上，页面上提供的所有服务都是通过一个安全的HTTPS连接提供的，如果你通过公共Wi-Fi浏览这个网站，没有人会看到你的东西或者能够劫持你的cookies。

挂锁显示警告时怎么办？

事情可能会出错：在一些安全站点上，图像或其他嵌入的页面元素是通过HTTP而不是HTTPS提供的。例如，如果你在一个公共热点上浏览你的银行账户，银行的徽标是通过HTTP连接提供的，而页面上的实际信息是通过HTTPS提供的，那么同一个网络上的人可能会看到你银行的徽标，但不是通过HTTPS提供给你的任何私人信息。当站点提供混合内容时，您将看到带有黄色警告标志的挂锁或带有红色x的挂锁。区别在于：

当混合内容包含图像等嵌入元素时，会出现此黄色警告挂锁。它让您知道某些内容是通过HTTP提供的，但不太可能是构成安全风险的内容。

当混合内容包含高风险的嵌入内容（如JavaScript）时，就会出现红色x挂锁（高风险内容是任何可以更改页面的内容）。

红色的x是你真正想要注意的。如果你在一个不受信任的网络中，你可能希望避免浏览带有红色x挂锁的网站，这些网站也包含敏感内容。有高风险的内容是通过HTTP提供的，这意味着黑客可能会注入JavaScript，比如说，窃取你的密码或cookies。

那为什么我在gmail里除了绿色挂锁什么都没看到呢？

答案很简单：当你第一次加载或重新加载Gmail时，你应该看到绿色的挂锁。Gmail中的所有内容都是通过安全的HTTPS连接提供的（从去年1月的某个时候起，它就一直是默认的）。然而，当你打开一封用HTML编写的电子邮件，并且允许Gmail显示嵌入的图像时，这些图像通常会从另一个不使用HTTPS的站点加载。一旦你加载了一封带有嵌入图像的电子邮件，并且这些图像通过HTTP传输过来，你的挂锁就会从绿色挂锁变为黄色警告挂锁。

因为当你在电子邮件和收件箱之间切换时，Gmail不会重新加载页面，所以挂锁将保持混合内容模式，直到你完全重新加载Gmail。现在我们对安全指标有了更多的了解，我们知道这并不意味着Gmail是不安全的，只是你看到的不是所有的东西都是加密的(不管它值多少钱，你应该总是能够刷新Gmail以获得一个绿色挂锁。）

据伊恩说，其他可能的违规者（例如，你的挂锁可能不是绿色的原因）包括Gmail实验室的功能和各种浏览器扩展。Gmail团队的目标是确保Labs的特性是100%的HTTPS，但它们并不总是在没有混合内容的情况下启动的(它们毕竟是实验性的特性。）关于扩展，这些都在你的手中，Chrome团队无法控制他们是否将混合内容引入你的网站。

如果你只是简单地使用vanillaGmail（也就是说，没有安装扩展或启用实验室功能），你绝对不应该在Gmail中看到一个红色的x挂锁。如果你做得好，我不知道原因是什么(Ian来自Chrome团队如果Gmail团队中有人对为什么会发生这种情况提出建议，我们洗耳恭听！）

如何准确地找出https上没有提供的服务

作为最后一个额外提示：很高兴知道页面上并非所有内容都是通过HTTPS提供的，但更令人欣慰的是，确切地知道哪些内容不安全。要查找，请单击“扳手”按钮，选择“工具”&gt；开发人员工具，然后单击控制台选项卡。单击“警告”按钮，然后查看其中的内容。

在上面的例子中，我得到这个警告：

页面位于https://mail.google.com/mail/u/0/?shva=1&zx=j68m1t-i2thtz#apps/k%26l显示了来自的不安全内容

.

正如你所看到的，有一个图像嵌入在一封来自http://www.klwines.com/ （K&amp；我是洛杉矶最喜欢的葡萄酒店）。在这种情况下，它不会产生任何安全问题，但足以触发Gmail的黄色警告挂锁混合内容警告。

希望有帮助！

爱你，生活黑客