2.3.1.2. Активные сетевые атакеры
Упорный атакер может реализовать активную атаку, либо деперсонифицируя пользовательский DNS-сервер, либо в случае беспроводной сети, посредством фальсификации сетевых кадров или путем предоставления аналогично названных вредоносных точек доступа. Если пользователь находится позади беспроводного локального маршрутизатора, атакер может попытаться реконфигурировать маршрутизатор, использую пароль по-умолчанию и другие уязвимости. Некоторые сайты, такие как банки, полагаются на безопасность канала точка-точка, чтобы защитить себя и своих пользователей от таких активных атакеров. К сожалению, браузеры позволяют своим пользователям легко устранятся от этих мер защиты, для того чтобы быть приемлемым для сайтов, которые некорректно используют безопасный транспорт, например при генерировании и самоподписывании своих собственных сертификатов.
2.3.1.3. Ошибки разработки Web-сайта и применения
Безопасность в определенных условиях безопасного сайта (то-есть, такого, где все компоненты доступны через "http" URI) может быть полностью компрометирована активным атакером, использующим простую ошибку, такую как загрузка каскадного стилевого списка или SWF-фильма (Shockwave Flash) через небезопасное соединение (как СSS, так и SWF-фильмы могут при загрузке страницы к удивлению многих разработчиков web использовать скрипты, плюс некоторые браузеры не выдают так называемые предупреждения смешенного контента ("mixed content warnings"), когда SWF-файлы загружены через небезопасное соединение). Даже если разработчики сайта тщательно исследуют свою login-страницу на наличие "mixed content", одно небезопасное вложение где-либо на сайте компрометирует безопасность login-страницы, так как атакер может управлять login-страницей с помощью встраиваемого кода (напр., скрипта).
Замечание: "Смешенное содержимое" как это использовалось выше (смотри также раздел 5.3 [W3C.REC-wsc-ui-20100812]) относится к понятию, называемому в данном документе "mixed security context" (смешенный контекст безопасности) и которое не следует смешивать с понятием "mixed content" (смешенное содержимое), используемым в контексте языков разметки, таких как XML и HTML.