¿La mayoría de los navegadores manejan correctamente el contenido mixto cifrado y no cifrado?

3

En Google Chrome, cuando voy a una página cifrada que contiene contenido no cifrado, aparece la siguiente ventana desplegable, que me permite cargar o no cargar el contenido inseguro, haciendo una clara recomendación de no cargarlo:

Aquí,senotificaclaramentealusuarioqueexisteunproblemaeinclusoseleproporcionaunaformademantenerseseguroalnocargarelcontenidoinseguro.

EnFirefox,cuandovoyalamismapágina,reciboelsiguientecuadrodediálogoemergente,sinembargo,lapáginacontinúacargandoelcontenidoinsegurodetodosmodos:

Sin embargo, la casilla de verificación anterior por defecto se deja sin marcar, por lo que la mayoría de los usuarios solo verán esto una vez.

Además, tanto Opera como Konqueror continúan cargando el contenido sin cifrar también. En ambos navegadores, la barra de direcciones permanece en blanco (lo mismo que cuando se visita una página normal), sin embargo, ninguno de estos navegadores indica al usuario que existe un problema con el sitio a menos que haga clic manualmente para ver el certificado Detalles o nota que el color de la barra de direcciones cambia (o no cambia).

Entonces, mi pregunta es si el contenido no cifrado está cargado, ¿el daño ya está hecho? Sé que esto es más una cuestión de opinión, pero ¿por qué otros navegadores no proporcionan una manera de evitar que este contenido se cargue por completo? ¿Esto no agrega a la seguridad?

Editar: Buscando un poco más, encontré estos errores de Mozilla relacionados con esto:

Supongo que la razón por la que esto no se implementa (al menos en el caso de Firefox) es porque es un error difícil de solucionar, pero están trabajando en ello.

    
pregunta Mike 01.07.2012 - 01:32
fuente

2 respuestas

4

Quizás es mejor explicar el problema con contenido mixto.

Muchos sitios web almacenarán el estado de inicio de sesión en la sesión, y si un atacante tiene el identificador de sesión, puede hacerse pasar por el usuario registrado. El identificador de sesión debe enviarse junto con cada solicitud, para que el servidor pueda reconocer al usuario, esto generalmente se realiza con una cookie que contiene el identificador de sesión.

Si un sitio utiliza HTTP mezclado con HTTPS, el id de sesión se transmitirá de forma predeterminada a todas las solicitudes HTTP (incluso para las solicitudes de imágenes). Por lo tanto, si el atacante puede leer una sola solicitud HTTP después de que el usuario haya iniciado sesión, conoce el ID de sesión.

Para responder a su pregunta, no debe cargar contenido mixto, siempre que esté preocupado por la privacidad. Depende de la implementación del sitio, si un atacante puede obtener su ID de sesión en ese momento. Si el navegador pregunta si cargar el contenido mixto, tienes la oportunidad de evitar esta situación.

    
respondido por el martinstoeckli 01.07.2012 - 08:20
fuente
4

Sí, se agrega a la seguridad y sí, se debe hacer, pero la seguridad a menudo se descuida con respecto a la usabilidad.

Por ejemplo, la notificación de Chrome está apenas presente, a diferencia de la ventana emergente de Firefox. Y lo que es más importante, para evitar realmente una amenaza de este tipo, el navegador no solo debe notificar al usuario promedio (quien no tendría idea de lo que está haciendo), sino que también debe dar la opción de cargar o no cargar contenido no seguro de una manera que entienda que hay riesgos. involucrado.

En tal caso, el navegador requiere la tecnología para evitar que se cargue el contenido HTTP y permitir que se cargue HTTPS. Esto como usted sabe puede tener varios efectos en la página. A medida que pase el tiempo, estoy seguro de que otros navegadores desarrollarán una tecnología similar para poder aislar el contenido HTTP y HTTPS y luego le darán al usuario la opción de cargarlo o bloquearlo cada vez que encuentren una página de este tipo.

En lo que concierne a la seguridad sobre contenido mixto en tecnicidad, realmente depende de lo que está pasando. Un buen ejemplo es ir al sitio web de una empresa que no requiere que se cargue el conocimiento público abierto en HTTPS, pero su inicio de sesión sí.

En última instancia, es la cuestión de la privacidad del usuario, en donde HTTPS triunfa, pero el usuario promedio no lo sabe, y los sitios web no quieren el esfuerzo adicional para hacer todo el HTTPS.

Informe de errores similares de Firefox: enlace

    
respondido por el Rohan Durve 01.07.2012 - 05:03
fuente

Lea otras preguntas en las etiquetas