¿Hay alguna razón por la que los navegadores deberían bloquear el contenido pasivo mixto de forma predeterminada?

8

La mayoría de los navegadores bloquean el contenido "activo" que se está cargando a través de HTTP en las páginas HTTPS. Esto incluye elementos como javascript que pueden modificarse con un MITM y comprometer la seguridad de toda la página.

Sin embargo, el contenido "pasivo" (es decir, las imágenes) no están bloqueados de forma predeterminada. Estaba discutiendo una solicitud de características para Firefox aquí , y se me ocurrió que no estoy realmente seguro. sobre seguridad cuando se trata de contenido pasivo mixto.

¿Qué preocupaciones de seguridad hay cuando se sirve contenido pasivo a través de HTTP en una página HTTPS?

    
pregunta Manishearth 11.09.2013 - 05:48
fuente

1 respuesta

3

Contenido pasivo mixto, a veces denominado contenido de visualización mixto, como imágenes, audio, archivos de video o cualquier otro contenido que no pueda alterar el DOM; por lo tanto, el uso de "pasivo" en el nombre, como usted menciona usted mismo: a través del HTTP no cifrado y el documento de solicitud a través del HTTPS cifrado es propenso a ataques que podrían reemplazar estos contenidos HTTP servidos con información inapropiada o engañosa. Piense aquí, por ejemplo, en engañar al usuario al creer que se espera que realice alguna acción, o que de otra manera esté mal dirigido por el contenido reemplazado por Man-in-The-Middle (MiTM). La diferencia aquí es que el atacante no podría afectar el resto de la página, sino solo los contenidos cargados a través del protocolo HTTP no cifrado.

Además, un atacante podría rastrear a los usuarios al inferir información sobre las actividades de navegación del usuario a través de los contenidos cargados de HTTP que se sirven al usuario. Es posible que estos contenidos se limiten a mostrar solo en páginas específicas, y su solicitud podría indicar al atacante qué página visitaba el usuario.

El atacante puede interceptar la información del encabezado HTTP que se envía a través del protocolo no seguro, redirigir las solicitudes a otro servidor o cambiar la información en la respuesta HTTP (por supuesto, incluidos los encabezados, también las cookies). La información de solicitud incluye la cadena de agente de usuario y las cookies asociadas con el dominio desde el que se sirven los contenidos HTTP servidos. El atacante podría cambiar cualquiera de esta información a voluntad para facilitar el seguimiento de la actividad del usuario o desviar al usuario con información falsa.

Si estos contenidos se envían desde el mismo dominio que la página principal que los solicita, entonces la supuesta protección que recibe el usuario al abrir una página HTTPS puede volverse aún más inútil, ya que el atacante puede leer las cookies del usuario que no están adjuntas. la etiqueta ;secure a través de los encabezados de solicitud de los contenidos HTTP vinculados, lo que indica al agente de usuario (navegador) que solo incluya dichas cookies etiquetadas cuando se utiliza un canal HTTPS cifrado / seguro para realizar solicitudes de contenido vinculadas adicionales.

    
respondido por el TildalWave 11.09.2013 - 07:02
fuente

Lea otras preguntas en las etiquetas