Messaggi di sicurezza in conflitto sulla pagina "chrome: // settings"; è sicuro o no?

29

Accedendo alla pagina chrome://settings , vedo due cose che si contraddicono a vicenda:

  • Ilnastrosottolabarradegliindirizzimostra"Stai visualizzando una pagina sicura di Chromium."

  • D'altro canto, la panoramica sulla sicurezza nella scheda Sicurezza negli strumenti di sviluppo Chromium dice "Questa pagina non è sicura".

Qualcuno ha idea di cosa sta succedendo qui?

  1. Perché questi due messaggi in conflitto? Qualche vulnerabilità qui?
  2. La pagina chrome://settings è davvero sicura?
  3. Se non è sicuro, ha un impatto sul browser o qualcosa del genere?
  4. Quale potrebbe essere la risoluzione possibile?

EDIT: Voglio chiarire che la mia domanda è Why these two conflicting security messages ? e solo dopo di ciò la sicurezza che risponde bene alla domanda che tutti sembrano solo contrassegnare questa domanda come duplicato di:

Come fanno i browser a verificare le loro impostazioni la pagina è sicura?

Quindi, considera la risposta alla domanda 1 nell'OP e poi segui il resto.

Se pensi ancora che la domanda sia duplice, leggi prima le risposte qui sotto e poi confronta le risposte fornite alle domande per le quali ritieni che questa domanda sia un possibile duplicato.

Grazie.

    
posta C0deDaedalus 19.03.2018 - 19:45
fonte

1 risposta

46

Sì, la pagina delle impostazioni è protetta. Quello che vedi è solo un'incoerenza da parte di Chrome.

Nei devtools, solo le connessioni HTTPS valide sono etichettate come "sicure". Altri documenti, inclusi i file locali e le pagine delle impostazioni, sono indicati come "non sicuri", anche se non passano mai attraverso una rete. La nozione di "connessione sicura" non si applica alle risorse locali. (Anche una pagina delle impostazioni è locale.)

Perché? Poiché l'etichetta è basata su SecurityState che è impostato su "neutrale" per siti HTTP semplici, file locali e pagine impostazioni allo stesso modo. E uno stato di sicurezza "neutrale" è verbalizzato come "non sicuro":

const summaryExplanationStrings = {
  'unknown': Common.UIString('The security of this page is unknown.'),
  'insecure': Common.UIString('This page is not secure (broken HTTPS).'),
  'neutral': Common.UIString('This page is not secure.'),
  'secure': Common.UIString('This page is secure (valid HTTPS).')
};

(Origine)

Nella barra degli indirizzi, tuttavia, Chrome ha un'etichetta speciale per la visualizzazione di una pagina interna:

<message name="IDS_PAGE_INFO_INTERNAL_PAGE" desc="Message to display in the page
 info bubble when the page you are on is a chrome:// page or about:something.">
    You are viewing a secure Google Chrome page.
</message>

(Origine)

Quindi, i testi differiscono. In definitiva, gli indicatori di sicurezza nella barra degli indirizzi dovrebbero essere il mezzo di verifica preferito. In altri posti, come ad esempio i devtools, l'interfaccia utente potrebbe non essere chiara.

    
risposta data 19.03.2018 - 20:14
fonte

Leggi altre domande sui tag