Ci sono motivi per cui i browser dovrebbero bloccare il contenuto passivo misto per impostazione predefinita?

8

La maggior parte dei browser blocca il contenuto "attivo" che viene caricato su HTTP sulle pagine HTTPS. Questo include cose come javascript che possono essere modificate con un MITM e compromettono la sicurezza dell'intera pagina.

Tuttavia, i contenuti "passivi" (ad esempio le immagini) non sono bloccati per impostazione predefinita. Stavo discutendo una richiesta di funzionalità per Firefox qui , e mi è venuto in mente che non sono proprio sicuro sulla sicurezza quando si tratta di contenuti passivi misti.

Quali problemi di sicurezza ci sono quando offri contenuti passivi su HTTP su una pagina HTTPS?

    
posta Manishearth 11.09.2013 - 05:48
fonte

1 risposta

3

Contenuti passivi misti, a volte indicati come contenuti di visualizzazione misti, come la pubblicazione di immagini, audio, file video o qualsiasi altro contenuto che non può alterare il DOM - quindi l'uso di "passivo" nel nome, come si menziona te stesso - attraverso l'HTTP non crittografato e il documento richiedente tramite HTTPS crittografato è soggetto a attacchi che potrebbero sostituire questi contenuti forniti HTTP con informazioni inappropriate o fuorvianti. Pensa qui ad esempio di fuorviare l'utente nel credere che si presume che faccia qualche azione, o che sia diversamente indirizzato dal contenuto sostituito da Man-in-The-Middle (MiTM). La differenza qui è che l'attaccante non sarebbe in grado di influenzare il resto della pagina, ma solo i contenuti caricati tramite il protocollo HTTP non crittografato.

Inoltre, un utente malintenzionato può rintracciare gli utenti deducendo informazioni sulle attività di navigazione dell'utente attraverso contenuti caricati HTTP che vengono offerti all'utente. Questi contenuti potrebbero essere limitati alla visualizzazione solo su pagine specifiche e la loro richiesta potrebbe dire all'autore dell'attacco quale pagina l'utente stava visitando.

L'utente malintenzionato può intercettare le informazioni dell'intestazione HTTP che vengono inviate tramite il protocollo non protetto, reindirizzare le richieste a un altro server o modificare le informazioni nella risposta HTTP (ovviamente incluse le intestazioni, quindi anche i cookie). Le informazioni sulla richiesta includono la stringa dell'agente utente e i cookie associati al dominio da cui vengono serviti i contenuti HTTP serviti. L'utente malintenzionato potrebbe modificare queste informazioni a proprio piacimento per facilitare il tracciamento delle attività degli utenti o fuorviare l'utente con informazioni false.

Se questi contenuti vengono pubblicati dallo stesso dominio della pagina principale che li richiede, la protezione presunta che l'utente riceve aprendo una pagina HTTPS potrebbe diventare ancora più inutile, poiché l'utente malintenzionato può leggere i cookie dell'utente che non si collegano il tag ;secure tramite le intestazioni di richiesta dei contenuti HTTP collegati, che indica all'agente utente (browser) di includere tali cookie taggati solo quando viene utilizzato un canale HTTPS crittografato / protetto per effettuare richieste di contenuti aggiuntivi collegati.

    
risposta data 11.09.2013 - 07:02
fonte

Leggi altre domande sui tag