¿Cuál es la seguridad real de esta página de inicio de sesión?

Navega tus respuestas
3

Visite enlace

Si visito este sitio con mi navegador web Safari 6, esta página no muestra el indicador de seguridad normal que normalmente muestran los sitios seguros.

¿Esto significa necesariamente que esta página de inicio de sesión no es segura?

Sin embargo, enlace se muestra como seguro, de acuerdo con Safari 6.

Entonces, la pregunta es: ¿cómo puedo saber si un sitio https en particular es seguro, cuando no muestra la marca de seguridad normal?

    
pregunta SecurityClown 21.08.2012 - 17:40
fuente

3 respuestas

11

Ciertos elementos de la página no se envían a través de HTTPS. Esto significa que esos elementos pueden ser leídos por cualquier persona que esté olfateando la red, o modificado en tránsito por un atacante activo. Esto podría provocar que un atacante ejecute JavaScript en la página. Como tal, su navegador le advierte que, para la mayoría de los propósitos y propósitos, la página es el equivalente a que no esté encriptado en absoluto.

    
respondido por el Polynomial 21.08.2012 - 17:44
fuente
3

Si observa la fuente de la página (por ejemplo, a través de la multa de Chrome ' inspeccionar elemento' herramienta ) , puedes ver que la hoja de estilo de la página especifica ciertos elementos de imagen.

EDITAR: Bobince es correcto, mis disculpas. El problema es que algunas de las imágenes se muestran a través de http:

  

background: url (http://devimages.apple.com/global/elements/layout/forums/apple.gif)

Por lo tanto, esos elementos de imagen no son seguros. Esto da como resultado la advertencia sobre recursos no seguros en una página HTTPS.

    
respondido por el Mark Beadles 21.08.2012 - 18:02
fuente
0

Es una buena práctica tener todo el contenido de un sitio web protegido a través de SSL. En el caso que usted ha mencionado, se ha producido lo siguiente:

  1. El protocolo de enlace de conexión SSL ha sido exitoso con el navegador y el servidor. Las negociaciones y las validaciones de certificados se realizan según sea necesario.
  2. Se garantiza al usuario que está navegando por la página alojada por la parte que se supone que debe estar.
  3. No todos los contenidos que están visibles en la página provienen de la URL. Hay algunos enlaces en el código HTML que apuntan a otros servidores (o el mismo servidor que se vincula a una referencia estática en un contexto diferente) en Internet desde donde se obtienen y se muestran datos como imágenes o texto.
  4. Lo importante es que el nombre de usuario y la contraseña que va a escribir se enviarán al servidor solo en sesión SSL y en formato cifrado, lo que es muy importante.

Como dije anteriormente, no es la mejor práctica, para aumentar la confianza del usuario, se recomienda que todos los datos que se muestran en la página se carguen desde el mismo servidor mediante la sesión SSL.

La devolución es SSL. La sobrecarga de los datos no es deseable para imágenes estáticas y texto que no son de mucha importancia. Depende del requerimiento del negocio. Si millones de personas acceden a la página todos los días, eso será importante para la empresa en términos del ancho de banda utilizado por los servidores. Normalmente, los sitios de Banca nunca seguirán el enfoque de datos parciales en SSL y algunos en no SSL, ya que puede afectar gravemente la respuesta del usuario.

    
respondido por el Mohit Sethi 23.08.2012 - 11:03
fuente

Lea otras preguntas en las etiquetas

¿Por qué las empresas no utilizan simplemente las herramientas de los piratas informáticos para encontrar sus propias vulnerabilidades antes del lanzamiento de su software? [cerrado] Paquete de seguridad de hospedaje web "100% garantizado" sospechoso