OneDrive está marcado como no seguro por Google Chrome debido a scripts no seguros

Question

OneDrive está marcado como no seguro por Google Chrome debido a scripts no seguros

#1 de Arun Anson (3 votos)

4

La página de la unidad del usuario de OneDrive solicita que se cargue la siguiente secuencia de comandos (que normalmente Chrome bloquea para que sea insegura)

<html>

<head>
    <title>Bing</title>
</head>

<body>Loading...
    <script type="text/javascript">
        //<![CDATA[
        var _w = window;
        var o = _w.opener;
        var mainWindow;
        (mainWindow = o) || (mainWindow = _w.parent);
        if (mainWindow) {
            mainWindow.sj_evt && mainWindow.sj_evt.fire("wl:auth");
        };
        if (o) _w.close();;
        //]]>
    </script>
</body>

</html>

Y lo siguiente se registró en la Consola de desarrollador

AI session renewal date is 0, session will be reset.
Mixed Content: The page at 'https://onedrive.live.com/?cid=<REDACTED>' was loaded over HTTPS, but requested an insecure form action 'http://www.bing.com/Passport.aspx?popup=1'. This request has been blocked; the content must be served over HTTPS.
Mixed Content: The page at 'https://onedrive.live.com/?id=root&cid=<REDACTED>' was loaded over HTTPS, but requested an insecure form action 'http://www.bing.com/Passport.aspx?popup=1'. This content should also be served over HTTPS.
Uncaught SecurityError: Blocked a frame with origin "http://www.bing.com" from accessing a frame with origin "https://onedrive.live.com".  The frame requesting access has a protocol of "http", the frame being accessed has a protocol of "https". Protocols must match.

¿Alguien puede arrojar algo de luz sobre lo que está haciendo exactamente? ¿Ya no es seguro OneDrive o es un falso positivo de Chrome?

tls javascript chrome mixed-content

pregunta Paras Singh Laddi 25.12.2015 - 09:27

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls javascript chrome mixed-content

Guardar información personal (nombre, dirección, teléfono, correo electrónico) en la base de datos MySQL Qué protocolos emplean tráfico de cobertura

score 3 · Accepted Answer

No soy un gran experto en esto. Pero puedo darle una pequeña explicación con mi 3 años como administrador de servidores y tecnólogo de una empresa de desarrollo web.

El script puede ser una verificación de inicio de sesión unificada como lo hace Google para todos sus productos.

Las razones para que Chrome lo reporte como inseguro son - Se está cargando a través de HTTP no HTTPS. - El script o la página solicitada es de otro dominio (Bing.com) que no es el mismo o subdominio del dominio live.com.

Así que no te preocupes pensando que Google Chrome ha detectado una unidad como dañina. Es solo sobre el contenido que se carga desde un sitio diferente y una URL que no es HTTPS.