GET, advertencia "mailto": ¿cómo puedo saber si un sitio es seguro?

2

Mi administrador de contraseñas me da una advertencia cuando voy a ciertos sitios. Dicen que si creo que puedo confiar en el sitio para seguir adelante y usarlo ... esto me preocupa, me perderé algo.

La advertencia emergente que recibo cuando accedo a la página de inicio de sesión en el sitio: "EL SITIO WEB dice que 'LastPass detectó un formulario de inicio de sesión inseguro. ¿Desea continuar?"

Aquí está la documentación .

Mi problema es que no tengo idea de si debo continuar o no.

Preguntas :

  1. ¿Cómo puedo determinar si un sitio está INSEGURO porque usa los métodos GET o mailto: ?

  2. ¿Cómo puedo determinar si un sitio es SEGURO si NO está usando GET o mailto: pero LP cree que sí y es un falso positivo, etc.?

  3. Seguí con un sitio donde recibí una advertencia y me dijeron que estaban usando AJAX y no GET ... es un problema y cómo puedo verificar porque continúan diciendo que lo harán. ¿Estaré abordando este problema pronto, lo que me hace preguntarme si puedo usar el sitio de manera segura?

Le pregunté a LP sobre esto y no van más allá de lo que he compartido anteriormente.

    
pregunta KresWon895 29.08.2018 - 20:07
fuente

1 respuesta

0

Si la documentación de LastPass se mantiene actualizada con su código fuente, no tiene que preocuparse por los falsos positivos. (Es posible que desee preocuparse por los negativos falsos). Detectar un formulario que se envía a través de GET o mailto: es una tarea relativamente fácil.

Una solicitud GET en HTTP (y HTTPS) es el método de solicitud más simple y extendido. Transfiere (casi) todos sus datos en la URL , es decir, en la misma línea de letras que se muestra en la barra de direcciones de su navegador. Enviar un formulario en una solicitud HTTP (S) GET no es seguro: aquí están las posibles consecuencias .

El otro método, denominado mailto , no es en realidad un método de solicitud HTTP (s), sino más bien una forma de enviar sus datos por correo electrónico en lugar de un navegador, HTTP y World Wide Web. El envío de datos confidenciales por correo electrónico en lugar de una solicitud HTTPS POST puede ser incluso menos seguro .

Si realmente tiene que usar un sitio web que lo haga de cualquier manera, mejor a) evalúe sus opciones e intente elegir el competidor de un sitio; b) lea dos enlaces justo arriba y evalúe sus riesgos.

Con respecto a AJAX, es básicamente una capa de abstracción sobre HTTP (S). Podría implementarse fácilmente con las solicitudes GET : Wikipedia tiene un ejemplo perfecto de esto. Por lo tanto, usar AJAX solo no es relevante para la pregunta.

Algunas aclaraciones:

  1. Lo más probable es que los autores de LastPass estén conscientes del hecho de que hay (a veces, importantes) sitios web que no siguen las mejores prácticas de seguridad. Por lo tanto, LastPass no va a evitar el uso de esos sitios web a toda costa, simplemente resalta un problema y deja la carga de la toma de decisiones para el usuario.

  2. A veces, de hecho, usar GET o mailto: es un poco (posiblemente, pero) menos de un problema. P.ej. cuando el mensaje de correo electrónico se envía a un dispositivo en la red local, o cuando una solicitud GET termina en el host local. LastPass no puede detectar esas excepciones de manera confiable, por eso solo muestra una advertencia.

  3. Creo que si LastPass ha detectado el uso de esos métodos, puede estar bastante seguro de que, de hecho, se está utilizando cualquiera de esos métodos. Las herramientas del desarrollador (pestaña "red") pueden ayudar a rastrearlo.

  4. Una vez más, usar solo AJAX no significa que el formulario no se envíe en una solicitud GET . Podría ser de cualquier manera. Pretender que un sitio web no está usando GET de solicitudes porque está usando AJAX es simplemente una tontería.

respondido por el ximaera 30.08.2018 - 02:24
fuente

Lea otras preguntas en las etiquetas