Perché sto ottenendo il pop-up di Facebook per ogni sito?

TL; TR: è probabilmente un BlueCoat ProxySG o un proxy simile che può essere configurato per comportarsi in questo modo. Niente di cui preoccuparsi.

dettagli:

Quello che vedi è una finestra di dialogo per autenticazione di accesso di base HTTP . Questo non è ciò che Facebook utilizza per l'autenticazione. Ciò significa che questa finestra di dialogo non è di Facebook stesso.

La mia ipotesi è che Facebook.com sia filtrato dal tuo "proxy strong per evitare i siti di social network" ma che l'accesso a questo sito è consentito ad alcuni utenti autorizzati. Quindi quello che vedi qui è l'autenticazione richiesta dal proxy che usi. Di solito l'autenticazione proxy è diversa dall'autenticazione del sito e ti mostrerebbe che il proxy e non Facebook richiede l'autenticazione. Ma alcuni software / appliance possono essere configurati per emettere un'autenticazione del sito quando usati come proxy trasparente, cioè quando non vengono configurati esplicitamente come proxy all'interno del browser.

Uno di questi software proxy è BlueCoat ProxySG. Da loro documentazione si può vedere che sarà restituisce un'autenticazione del sito (codice 401) invece dell'autenticazione proxy (codice 407) se utilizzato come proxy trasparente:

The ProxySG appliance issues an OCS-style challenge (HTTP 401) for the first connection request from an unauthenticated client.

Questo lascia la domanda sul perché ottieni questa richiesta di autenticazione ovunque. La mia ipotesi è che non si ottiene la finestra di dialogo ovunque, ma su tutti i siti che incorporano il pulsante Mi piace di Facebook, che è quasi ovunque. Il sito connect.facebook.net che vedi nella finestra di dialogo è l'SDK di Facebook per il pulsante Mi piace.

Questa è una autenticazione proxy pop-up! Ed è molto probabilmente un attacco relativo al proxy.

Quando ti connetti a Internet tramite un proxy, ti verrà chiesto di inserire nome utente e password se il proxy richiede un'autenticazione.

Ad esempio:

Tienipresentechel'interotestoTheserverhttp://...Theserversaysèmodificabileepuoimodificarlonelleimpostazionidelserverproxy.

Passidiattaccoproxyfasullo:

• Impostazionediunproxyconl'autenticazionedibase'nessunhashingsullatoclient'
• EsecuzionediavvelenamentoDNS,quindiognirichiestaverràreindirizzataallamacchinaproxy
• spoofingARP,inmodochel'utentemalintenzionatopossaprenderelaposizione"DNS"

Dopo aver applicato l'attacco, il seguente scenario si verifica quando apri un sito:

1. Richiesta HTTP per il tuo sito, supponiamo che sia: link
2. La richiesta andrà alla macchina proxy falsa, quindi il proxy risponderà con 407 authentication required indipendentemente dalla tua richiesta. E rispedisci il messaggio del server con la risposta.
3. Apparirà un pop-up che mostra il messaggio del server.
4. Quindi, se inserisci le tue informazioni, andrà al proxy falso, quindi potresti essere reindirizzato su Internet.

Quindi, controlla la risposta DNS che stai ricevendo per qualsiasi sito web usando Wireshark. Probabilmente è da un indirizzo sospetto, quello che sta ottenendo lo spoofing DNS sulla tua rete.