¿Se puede mostrar de forma confiable el estado HTTPS en el navegador (no solo el bloqueo en la barra de URL)?

3

Estoy casi seguro de que esto no es posible, ya que probablemente sería demasiado explotable, pero quería preguntarle a la comunidad por si acaso.

¿Hay una manera de determinar y mostrar el estado de HTTPS en una página (trabajando o no funciona) dentro del navegador (es decir, como un estado en un sitio web en algún lugar), además del icono de bloqueo que se encuentra en la barra de URL? de (la mayoría / todos) los navegadores?

Estoy tratando de encontrar una manera de decirles descaradamente a los usuarios si la conexión es segura o no. Otra opción sería incluir algún tipo de conjunto de instrucciones sobre cómo verificar, aunque eso obviamente es una barrera mayor. (Si alguien ha visto algo similar en algún lugar, me encantaría ver un ejemplo).

¡Gracias!

    
pregunta csjohn 05.04.2013 - 16:20
fuente

7 respuestas

5

No, esto no es posible. Todo lo que se muestra en una página web se puede manipular fácilmente, utilizando elementos como Javascript y, por lo tanto, no se puede confiar.

El candado en el navegador es la única indicación confiable de que HTTPS está funcionando en una página.

    
respondido por el Ayrx 05.04.2013 - 16:22
fuente
4

Bueno, puede hacer que una página web muestre un mensaje atractivo que diga que "sí, esta página es segura, todo está bien", pero no puede evitar que una página web falsa muestre el Exactamente lo mismo, hasta el último píxel. Si los jueces usaran, como único testigo, el criminal, las cárceles estarían vacías ...

La barra de URL y el icono del candado están bajo el control del navegador , no de la página, y se supone que son inmunes a la manipulación desde la página (al menos, el nombre del servidor en la barra de URL se supone que es inmune a la manipulación).

(Mi banco, cuando me conecto a su sitio web, genera una buena ventana emergente con un gran candado. Esto es puramente cosmético; no agrega nada a la seguridad, porque una página bancaria falsa generaría la misma ventana emergente. De hecho, me siento ligeramente insultado por esa ventana emergente.)

    
respondido por el Thomas Pornin 05.04.2013 - 16:38
fuente
2

Su página web podría mostrar una buena flecha grande que apunta hacia donde debería estar el candado en el navegador, y recordarles que debería estar en verde, y que el sitio web debería ser domain.com (o algo más apropiado como un icono de signo de interrogación en algún lugar). de buen gusto que explica dónde deben ver el candado en el navegador, etc.)

    
respondido por el Drew Khoury 05.04.2013 - 16:43
fuente
1

Lo único en lo que puedo pensar es en un complemento de navegador firmado que se instalen como un complemento que posiblemente pueda mostrar algo de una manera que un sitio web no pueda, pero probablemente sea demasiado elaborado. Cualquier cosa en la página en sí podría ser falsificada e incluso intentar hacerlo puede reducir la seguridad, ya que capacitará a las personas para que busquen pruebas de seguridad en otro lugar que no sea el lugar universalmente correcto para hacerlo dentro de su navegador. (Ya que pueden ver su indicador y no molestarse en comprobar el icono de bloqueo).

    
respondido por el AJ Henderson 05.04.2013 - 16:52
fuente
1

Si desea asegurarse de que solo se conectarán a su sitio legítimo, es posible que desee considerar la autenticación de dos factores o la autenticación mutua basada en certificados. Si no funciona, no es legítimo.

Además, tenga en cuenta que puede haber una diferencia entre una conexión segura y una conexión al host correcto. Puede hacer que un atacante realice un sitio falso que se ejecute en HTTPS (aunque es poco probable), que sea seguro, pero no legítimo.

Hay muchas compañías que ofrecen "sellos de seguridad", pero como se señaló en otras respuestas, estas pueden ser falsas. Algunos de ellos se comunicarán con un proveedor, pero el usuario tenía que saber que el tercero también es confiable. Es un buen truco, pero en realidad no proporciona seguridad adicional en una situación en la que no tiene una base de confianza. También hay cosas como Web Of Trust, donde puedes ver las calificaciones de otras personas, pero nuevamente debes confiar en ellas.

Sin embargo, como una nota al margen interesante, la investigación ha demostrado que las personas realmente no tienen ningún concepto de la página en comparación con el navegador Chrome. La mayoría de los usuarios no es más probable que confíen en el bloqueo en Chrome, en lugar de una buena imagen en la página del navegador. Los usuarios finales generales no se preocupan por la seguridad o no saben. Incluso si miran los detalles del certificado, no saben qué hacer con ellos. Si coloca instrucciones en la página para verificar, nuevamente, un atacante podría fingir lo mismo, diciendo "ignorar el hecho de que el nombre no coincide con el nuestro, es porque son nuestro agente registrado".

Whalen, T. y Inkpen, K. M. (2005). Recopilación de evidencia: uso de claves de seguridad visual en navegadores web. En Proceedings of Graphics Interface 2005, GI ’05, páginas 137–144, Escuela de Informática, Universidad de Waterloo, Waterloo, Ontario, Canadá. Sociedad Canadiense de Comunicaciones Humano-Computadoras.

Sunshine, J., Egelman, S., Almuhimedi, H., Atri, N. y Cranor, L. F. (2009). Lobo llorón: un estudio empírico de la efectividad de la advertencia SSL. En las actas de la 18ª conferencia sobre el simposio de seguridad de USENIX, SSYM'09, páginas 399–416, Berkeley, CA, EE. UU. Asociación USENIX.

Otro ejemplo sería poner un mensaje en su sitio para que una descarga le indique a los usuarios que ignoren las advertencias de seguridad sobre el código sin firmar, etc. y que continúen con la instalación de todos modos.

    
respondido por el Eric G 05.04.2013 - 18:21
fuente
1

Probablemente no sea la respuesta que está buscando, pero podría considerar un certificado de validación extendido. Hace una diferencia visual obvia cuando se conecta a través de SSL, aunque la representación visual varía según los navegadores.

Por ejemplo:

    
respondido por el k1DBLITZ 17.04.2013 - 22:24
fuente
0

Si es importante para usted que los usuarios accedan siempre a su sitio a través de HTTPS, comience a configurar los encabezados Strict Transport Security y luego < a href="https://hstspreload.appspot.com/"> enviar para codificación en navegadores .

Aunque no es perfecto, es AFAIK la medida más fuerte de técnica (en comparación con la educativa) que puedes tomar.

(Junto con la mitigación de riesgos como el secuestro de cookies si un usuario visita HTTP)

    
respondido por el Beni Cherniavsky-Paskin 16.02.2015 - 15:45
fuente

Lea otras preguntas en las etiquetas