¿Es seguro interactuar con una página web antes de que se haya cargado completamente?

Esto dependerá del sitio, sin embargo, en la mayoría de los casos, sí, debería ser seguro interactuar con un sitio que no esté completamente cargado. Muchos sitios están diseñados con carga prioritaria donde los elementos de página más importantes se cargan primero y los elementos complementarios se cargan en segundo plano. La razón por la que el sitio está diseñado de esta manera es para que pueda comenzar a interactuar con el contenido principal sin tener que esperar a que se carguen los datos menos importantes. Los fabricantes de navegadores pasan mucho tiempo pensando en cómo cargar de forma segura una página de manera incremental, mientras que todos los recursos se cargan en paralelo, y existen características en HTML moderno para que los desarrolladores web controlen esta carga.

Es posible que una página mal diseñada se rompa si interactúas antes de estar lista, sin embargo, según mi experiencia, esto es muy, muy raro en la práctica. La mayoría de los sitios ocultan cualquier elemento que pueda romperse hasta que esté listo, o muestren una página intersticial de carga si el desarrollador lo considera necesario, pero las ocasiones en que esto es necesario son muy raras, ya que la mayoría de los elementos en HTML y CSS son seguros para interactuar antes de que se cargue la página. acabados.

En particular, hacer clic en los enlaces y los botones de retroceso casi siempre serán seguros. El desarrollador tiene que desordenar algo realmente, muy mal si estas acciones tan básicas rompen su sitio. Los formularios de llenado generalmente son seguros para todos los formularios HTML simples que no usan JavaScript, e incluso para la mayoría de las empresas que usan JavaScript. Sin embargo, es posible que las formas mal escritas se desordenen, pero esto es bastante raro.

  

Creo que esto a menudo puede causar daños en la historia,

Si estás viendo una corrupción en el historial, eso definitivamente no se debe a la interacción de la página mientras se está cargando.

  

Sin embargo, ¿podría haber algún caso en el que la interacción con la página provoque que la información se publique en el destino incorrecto, o que un destino de hipervínculo sea incorrecto y, por lo tanto, visite un sitio de phishing, etc.?

Es posible, pero esto es raro. El único escenario remotamente realista (uno que no implica que el desarrollador se desvíe deliberadamente para hacer que el sitio sea vulnerable), se me ocurre un destino POST incorrecto si un formulario HTML no especifica el atributo de acción, sino que utiliza JavaScript o modifica el valor de la acción por JavaScript después. De forma predeterminada, esto significa que el formulario se publicará en el mismo servidor en el que está viendo la página. Esto puede provocar un error pero normalmente no es un problema de seguridad. Excepto en la página de tarjeta de crédito, porque la página de tarjeta de crédito a menudo se publica directamente en un procesador de pagos de terceros para que el servidor no tenga que cumplir con todos los requisitos de PCI-DSS.

No se me ocurre ningún escenario realista en el que se publique accidentalmente en un sitio de phishing debido a una carga de página incompleta. Si bien no es imposible, el desarrollador tendría que hacer todo lo posible para que esto sea una posibilidad.

Si se está refiriendo con "seguro" a una conexión TLS establecida, puedo decir claramente que está seguro en esta página web. Quizás este gráfico le ayude a comprender lo que está sucediendo en cada inicio del establecimiento de una conexión y obtener los datos:

Como se puede ver, el intercambio de claves y certificados siempre ocurre al comienzo de cada sesión. Si ve algo, su navegador web obtuvo toda la información necesaria para iniciar una sesión segura y solo transmitir los datos necesarios.