¿Por qué aparece la ventana emergente de inicio de sesión de Facebook para cada sitio?

TL; TR: probablemente es un ProxySG de BlueCoat o un proxy similar que puede configurarse para comportarse de esa manera. Nada de qué preocuparse.

Detalles:

Lo que ve es un cuadro de diálogo para autenticación de acceso básica HTTP . Esto no es lo que Facebook utiliza para la autenticación. Esto significa que este diálogo no es de Facebook en sí.

Mi conjetura es que facebook.com se filtra por su "proxy fuerte para evitar los sitios de redes sociales", pero el acceso a este sitio está permitido para algunos usuarios autorizados. Por lo tanto, lo que ve aquí es la autenticación solicitada por el proxy que utiliza. Por lo general, la autenticación de proxy es diferente de la autenticación de sitio y le mostraría que el proxy y no Facebook requiere autenticación. Pero algunos software / dispositivos pueden configurarse para emitir una autenticación de sitio cuando se utiliza como un proxy transparente, es decir, cuando no se configura explícitamente como proxy dentro del navegador.

Uno de estos software proxy es BlueCoat ProxySG. Desde su documentación puede verse que lo hará devuelva una autenticación del sitio (código 401) en lugar de la autenticación proxy (código 407) cuando se utiliza como proxy transparente:

  

El dispositivo ProxySG emite un desafío de estilo OCS ( HTTP 401 ) para la primera solicitud de conexión de un cliente no autenticado.

Esto deja la pregunta de por qué obtienes esta solicitud de autenticación en todas partes. Supongo que no aparece el diálogo en todas partes, sino en todos los sitios que incorporan el botón Me gusta de Facebook, que está en casi todas partes. El sitio connect.facebook.net que ve en el cuadro de diálogo es el SDK de Facebook para el botón Me gusta.

¡Este es un autenticación proxy emergente! Y lo más probable es que sea un ataque relacionado con el proxy.

Cuando te conectas a Internet a través de un proxy, se te pedirá que ingreses el nombre de usuario y la contraseña si el proxy requiere una autenticación.

Por ejemplo:

TengaencuentaquetodoeltextoTheserverhttp://...Theserversayseseditable,ypuedecambiarloenlaconfiguracióndelservidorproxy.

Pasosdelataqueproxyfalso:

• Configuracióndeunproxyconautenticaciónbásica'sinhashenelladodelcliente'
• RealizarelenvenenamientodeDNS,porloquecadasolicitudseráredirigidaalamáquinaproxy
• falsificaciónARP,paraqueelatacantepuedatomarellugar'DNS'

Despuésdeaplicarelataque,ocurrelosiguientecuandoabrescualquiersitio:

1. SoliciteHTTPparasusitio,supongaquees: enlace
2. La solicitud irá a la máquina proxy falsa, por lo que el proxy responderá con 407 authentication required sin importar cuál sea su solicitud. Y devuelva el mensaje del servidor con la respuesta.
3. Aparecerá una ventana emergente que muestra el mensaje del servidor.
4. Por lo tanto, si ingresa su información, irá al proxy falso y luego será redirigido a Internet.

Por lo tanto, compruebe la respuesta de DNS que recibe para cualquier sitio web que use Wireshark. Probablemente sea de una dirección sospechosa, la que está logrando la suplantación de DNS en su red.