So it&#39;s basically an issue with <i>any</i> website that is loaded or requests resources via HTTP. That makes sense, and I do mention throughout the class how sensitive information should be submitted over HTTPS (especially when on a public network like &quot;noisebridge&quot;).<div>

<br></div><div>I don&#39;t think this is an extremely pressing concern, but Seth&#39;s right in that it&#39;s good practice. Stuff from CDNs should be loaded via HTTPS when possible. My problem is that loading HTTPS content on an HTTP page (or vice versa) causes those annoying &quot;some resources were sent unsecurely&quot; messages to pop up in IE. (I usually handle that issue by removing the protocol entirely in href/src attributes, like &quot;//<a href="http://www.google.com/..">www.google.com/..</a>.&quot; so the request matches the protocol of the current document.)</div>

<div><br></div><div>Jeffrey<br><br><div class="gmail_quote">On Thu, Feb 16, 2012 at 11:18 AM, Gopiballava Flaherty <span dir="ltr">&lt;<a href="mailto:gopiballava@gmail.com">gopiballava@gmail.com</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="#FFFFFF"><div>I&#39;ve heard of proof of concept demos for hijacking streams. Basically, the attacker on WiFi responds to the TCP SYN request faster than the web site itself. The example I saw showed people whose HTTP image requests all returned goatse. <br>

<br>https checks the certificate of the remote site. You could do this for https but the certificate wouldn&#39;t match. </div><div><br>Thanks,<div><br></div><div>gopi@iPhone</div><div><br></div></div><div><div class="h5">

<div><br>On Feb 16, 2012, at 10:59, Jeffrey Carl Faden &lt;<a href="mailto:jeffreyatw@gmail.com" target="_blank">jeffreyatw@gmail.com</a>&gt; wrote:<br><br></div><div><span></span></div><blockquote type="cite"><div>Are you suggesting that an outgoing HTTP GET request can be hijacked and the information that&#39;s returned could be script other than jQuery? I&#39;d be interested in understanding more how that works, and how requesting resources over HTTPS prevents that.<div>



<div><div><br></div><div>Jeffrey<br><br><div class="gmail_quote">On Wed, Feb 15, 2012 at 11:33 PM, Seth David Schoen <span dir="ltr">&lt;<a href="mailto:schoen@loyalty.org" target="_blank">schoen@loyalty.org</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>Jeffrey Carl Faden writes:<br>
<br>
&gt; Hey dudes,<br>
&gt;<br>
&gt; First Frontend Web Development lab meets tomorrow, Thursday at 8pm.<br>
&gt;<br>
&gt; If you want to get a head start on the assignment or just think it over, I&#39;ve uploaded it here:<br>
&gt; <a href="http://jeffreyatw.com/static/frontend/class12/assignment.html" target="_blank">http://jeffreyatw.com/static/frontend/class12/assignment.html</a><br>
<br>
</div>Can you please have your students load jQuery from<br>
<br>
<a href="https://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js" target="_blank">https://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js</a><br>
<br>
rather than your existing suggestion of<br>
<br>
<a href="http://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js" target="_blank">http://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js</a><br>
<br>
and correspondingly for jQuery Validation?  In the existing case a network<br>
attacker can completely pwn their web applications, _even if they&#39;re loaded<br>
from localhost or from local HTML instead of from any web server_.<br>
<span><font color="#888888"><br>
--<br>
Seth David Schoen &lt;<a href="mailto:schoen@loyalty.org" target="_blank">schoen@loyalty.org</a>&gt;      |  No haiku patents<br>
     <a href="http://www.loyalty.org/~schoen/" target="_blank">http://www.loyalty.org/~schoen/</a>        |  means I&#39;ve no incentive to<br>
  FD9A6AA28193A9F03D4BF4ADC11B36DC9C7DD150  |        -- Don Marti<br>
</font></span></blockquote></div><br></div></div></div>
</div></blockquote></div></div><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Noisebridge-discuss mailing list</span><br><span><a href="mailto:Noisebridge-discuss@lists.noisebridge.net" target="_blank">Noisebridge-discuss@lists.noisebridge.net</a></span><br>

<span><a href="https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss" target="_blank">https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss</a></span><br></div></blockquote></div></blockquote></div>
<br>
</div>