La maggior parte dei browser gestisce correttamente i contenuti misti crittografati e non crittografati?

Naviga le tue risposte
3

In Google Chrome, quando si accede a una pagina crittografata che contiene contenuto non crittografato, viene visualizzato il seguente popup, che consente di caricare o non caricare il contenuto non protetto, suggerendo chiaramente di non caricarlo:

Inquestocaso,all'utentevienechiaramentecomunicatocheesisteunproblemaevienepersinofornitounmodoperstarealsicurononcaricandoilcontenutononprotetto.

InFirefox,quandovadoallastessapagina,ricevolaseguentefinestradidialogopopup,tuttavialapaginaprocedecomunqueacaricarecomunqueilcontenutononprotetto:

Tuttavia, la casella di controllo sopra per impostazione predefinita è lasciata deselezionata, quindi la maggior parte degli utenti la vedrà solo una volta.

Inoltre, sia Opera che Konqueror continuano a caricare anche il contenuto non crittografato. In entrambi i browser, la barra degli indirizzi rimane bianca (lo stesso della visita a una pagina normale), tuttavia nessuno di questi browser fornisce alcuna ulteriore indicazione all'utente che esiste un problema con il sito a meno che non si faccia clic manualmente per visualizzare il certificato dettagli o capita di notare che la barra degli indirizzi cambia (o non cambia) colore.

Quindi la mia domanda è, se il contenuto non criptato viene caricato non è il danno già fatto? So che è più una questione di opinione, ma perché gli altri browser not non consentirebbero di caricare completamente questo contenuto? Questo non aggiunge sicurezza?

Modifica: facendo un po 'più di ricerca mi sono imbattuto in questi bug di Mozilla relativi a questo:

Quindi presumo che la ragione per cui non è implementata (almeno nel caso di Firefox) è perché è un bug difficile da risolvere, ma ci stanno lavorando.

    
posta Mike 01.07.2012 - 01:32
fonte

2 risposte

4

Forse è meglio spiegare il problema con i contenuti misti.

Molti siti Web memorizzeranno lo stato di accesso nella sessione e se un utente malintenzionato ha l'ID di sessione, può impersonare l'utente che ha effettuato l'accesso. L'ID di sessione deve essere inviato insieme a ciascuna richiesta, in modo che il server possa riconoscere l'utente, di solito con un cookie contenente l'id di sessione.

Se un sito utilizza HTTP combinato con HTTPS, l'ID di sessione verrebbe trasmesso in chiaro per tutte le richieste HTTP per impostazione predefinita (anche per le richieste di immagini). Quindi, se l'utente malintenzionato può leggere una singola richiesta HTTP dopo che l'utente ha effettuato il login, conosce l'id della sessione.

Per rispondere alla tua domanda, non devi caricare contenuti misti, purché tu ti preoccupi della privacy. Dipende dall'implementazione del sito, se un utente malintenzionato può ottenere il proprio ID di sessione. Se il browser chiede se caricare il contenuto misto, hai la possibilità di evitare questa situazione.

    
risposta data 01.07.2012 - 08:20
fonte
4

Sì, aumenta la sicurezza e sì, dovrebbe essere fatto, ma la sicurezza è spesso trascurata sull'usabilità.

Ad esempio, la notifica di Chrome è presente a malapena pari a quella del popup di firefox. Ancora più importante, per prevenire effettivamente una tale minaccia il browser non deve solo informare l'utente medio (chi non avrebbe idea di cosa sta facendo) ma anche dare la possibilità di caricare o non caricare contenuti non sicuri in un modo in cui capisce che ci sono dei rischi coinvolti.

In tal caso, il browser richiede la tecnologia per impedire il caricamento del contenuto HTTP e il caricamento di HTTPS. Questo come sai può avere diversi effetti sulla pagina. Con il passare del tempo, sono sicuro che altri browser svilupperanno tecnologie simili per poter isolare i contenuti HTTP e HTTPS e quindi offrire all'utente un'opzione per caricarlo o bloccarlo ogni volta che incontrano tale pagina.

Per quanto riguarda la sicurezza, il contenuto misto in tecnicismo dipende in realtà da ciò che sta accadendo. Un buon esempio è andare al sito web di un'azienda, non richiede conoscenze pubbliche aperte per essere caricato in HTTPS, ma il tuo login lo fa.

In definitiva, si tratta della questione della privacy degli utenti, in cui trionfa HTTPS, ma l'utente medio non ne è consapevole e i siti Web non vogliono lo sforzo extra per rendere l'intera cosa HTTPS.

Rapporto bug simile a Firefox: link

    
risposta data 01.07.2012 - 05:03
fonte

Leggi altre domande sui tag

Quali pro e contro ci sono per un salt casuale di una volta tra client e server? Rischi di servire contenuto non affidabile sotto HTTP Content-Type: text / plain?