Come i browser si assicurano che la loro pagina delle impostazioni sia sicura

Cosa c'è da proteggere? Viene caricato direttamente nel browser. Non c'è connessione al di fuori del contesto dell'utente locale della macchina, il che significa che non c'è nulla da intercettare / manomettere.

Per modificare ciò che vedi, devi modificare il file eseguibile del browser, lo spazio di memoria o modificare i dati sottostanti utilizzati per memorizzare le impostazioni. Per leggere i valori dovresti essere in grado di leggere lo spazio di memoria del browser o i file sottostanti. Tutti questi sono end-game. Se un attore malintenzionato può farlo, ha il controllo completo e non c'è modo di proteggerlo.

This page is not loaded over https

Non è caricato su nulla . Il browser lo sta solo visualizzando all'interno di un frame del browser perché quel frame ha già la possibilità di visualizzare i moduli Web in modo che lo stesso codice venga utilizzato per visualizzare questo modulo, anche se non proviene dal Web.

Come altre risposte hanno detto, la pagina è sicura perché è caricata dal browser, non trasmessa o accessibile da nessun altro.

Ma perché Chrome si preoccupa di contrassegnare una pagina così sicura come sicura? Per mitigare i tentativi di phishing. Sarebbe banale creare una falsa pagina 'impostazioni' e servirla per indurti a intraprendere azioni. ( Mi sembra improbabile che qualcuno in realtà cada per l'apertura di una pagina di impostazioni false, ma la credulità degli utenti mi sorprende sempre. )

Questo flag è solo un altro tentativo nel tentativo di rendere gli utenti più consapevoli per evitare errori stupidi, poiché sono di gran lunga il link più debole nella catena di sicurezza.

Le pagine delle impostazioni vengono caricate dal computer locale, non vengono recuperate su una rete e pertanto non possono essere soggette a un attacco MITM. Alcune di queste pagine potrebbero richiedere risorse web effettive, ma generalmente vengono ricevute tramite HTTPS.

Inoltre, i fornitori di browser hanno stabilito alcuni pseudo-protocolli per distinguere le impostazioni / gli URL di sistema spesso privilegiati dalle risorse web. Esempi di questi sono about: o chrome: . Come misura aggiuntiva di protezione, la maggior parte di questi URL non può essere aperta da un dominio non privilegiato.

Cioè, un normale sito web non può nemmeno aprire (o collegarsi a) la pagina delle impostazioni del browser:

(MozillaFirefox)

(Google Chrome)

Guarda il protocollo. È chrome: // non https.

Internet ha dozzine di protocolli e ognuno ha il suo modello di sicurezza (o la sua mancanza). sftp è sicuro, ftp no, irc no, ecc.

file:// accede solo ai file locali sul tuo disco rigido. Non comunica su Internet affatto , quindi è sicuro.

chrome:// è simile. Rimane all'interno di Chrome e non viene passato da nessuna parte, quindi, di nuovo, per sua natura.

È come aprire un documento di testo memorizzato localmente.

Non c'è comunicazione con un altro server durante l'apertura del file di testo e l'unico modo per modificare il contenuto del file è se un utente malintenzionato ha accesso diretto al sistema.

È un modo sicuro per osservare il contenuto di un file.

Nel caso della pagina delle impostazioni, non è caricato da un server web, è solo visualizzato in Chrome come se fosse un sito web.

Le pagine sono caricate localmente, il che significa che puoi caricare qualsiasi pagina chrome: // senza connessione internet.

Per questo motivo, non c'è nulla da intercettare poiché nessuna informazione viene mai trasmessa su Internet (eccetto ovviamente per cose come il download degli aggiornamenti, nel qual caso userà https per scaricare).