Dovrei preoccuparmi che Wayback Machine provi a caricare script da fonti non autenticate?

2

Uso regolarmente Wayback Machine per aiutare a trovare versioni archiviate di pagine Web che sono state rimosse o che sono altrimenti non disponibili.

Durante l'utilizzo del sito, ho notato un avviso particolare nella barra degli indirizzi di Google Chrome.

Firefoxmostraunavvertimentosimilepergliscriptnonsicuri.

Dovrei preoccuparmi che Wayback Machine stia tentando di caricare script da fonti non autenticate?

( Per la cronaca, né Microsoft Edge né Internet Explorer hanno visualizzato alcun avviso )

    
posta Steven M. Vascellaro 08.07.2017 - 18:49
fonte

4 risposte

1

No, a meno che non si stia utilizzando un browser che non blocca fonti non autenticate (ovvero HTTP semplice) durante il caricamento di una fonte autenticata (ad esempio HTTPS). La maggior parte dei browser moderni lo farà.

L'errore in questo caso è:

Mixed Content: The page at 'https://web.archive.org/' was loaded over HTTPS, but requested an insecure XMLHttpRequest endpoint 'http://wwwb-sentry.us.archive.org/api/3/store...

Poiché il browser ha bloccato la richiesta, non può essere intercettato da un intercettatore o Man-In-The-Middle sulla connessione, quindi sei al sicuro.

È probabile un errore di configurazione su Wayback Machine che invia la richiesta su HTTP anziché su HTTPS.

    
risposta data 09.07.2017 - 00:16
fonte
1

Quando visualizzi tali avvisi, puoi utilizzare lo strumento di controllo della pagina del browser web (ctrl-shift-i in Chrome) per analizzare il problema.

In Google Chrome, seleziona la scheda Sicurezza nella finestra Ispezione, quindi ricarica, quindi vai alla pagina di contenuti misti (scheda Rete con filtro "a contenuto misto: qualcosa ", come mixed-content:all ).

L'avviso nella Console (nella finestra di ispezione) è:

raven.min.js:sourcemap:2 Mixed Content: The page at 'https://web.archive.org/' was loaded over HTTPS, but requested an insecure XMLHttpRequest endpoint 'http://wwwb-sentry.us.archive.org/api/3/store/?sentry_version=7&sentry_client=raven-js%2F3.9.1&sentry_key=(sniped)'. This content should also be served over HTTPS.

Quando I permetti quel contenuto attivo non sicuro, vedo due richieste di questo tipo, sia HTTP POST a http://wwwb-sentry.us.archive.org/api/3/store/ , entrambi con parametri URL e alcuni dati POST.

I dati POST della prima richiesta sono:

{"project":"3","logger":"javascript","platform":"javascript","request":{"headers":{"User-Agent":"Mozilla/5.0 (sniped)"},"url":"https://web.archive.org/"},"exception":{"values":[{"type":"ReferenceError","value":"archive_analytics is not defined","stacktrace":{"frames":[{"filename":"https://web.archive.org/","lineno":21,"colno":36,"function":"?","in_app":true}]}}]},"culprit":"https://web.archive.org/","extra":{"session:duration":17},"event_id":"(snip)"}

Questo sembra causato dal fatto che la pagina https://web.archive.org/ ha quell'inclusione di script:

<script src="//archive.org/includes/analytics.js?v=30792cb" type="text/javascript"></script>

La mancanza di schema URL nell'URL "//archive.org/includes/analytics.js?v=30792cb" significa: utilizzare qualsiasi schema utilizzato per caricare la pagina Web, qui HTTPS. L'URL è in realtà: link che corrisponde a ||archive.org^*/analytics.js nel EasyPrivacy blacklist che può essere utilizzato da molte estensioni del browser disponibili su molti browser (AdBlock, ABP, UBlock Origin ...).

In effetti, disattivando questo filtro sulla privacy è stata soppressa quella prima richiesta. C'è ancora un'altra richiesta:

raven.min.js:2 Mixed Content: The page at 'https://web.archive.org/' was loaded over HTTPS, but requested an insecure XMLHttpRequest endpoint 'http://wwwb-sentry.us.archive.org/api/3/store/?sentry_version=7&sentry_client=raven-js%2F3.9.1&sentry_key=(snip)'. This content should also be served over HTTPS.

con dati POST:

{"project":"3","logger":"javascript","platform":"javascript","request":{"headers":{"User-Agent":"Mozilla/5.0 (sniped)"},"url":"https://web.archive.org/"},"exception":{"values":[{"type":"Error","value":"only one instance of babel-polyfill is allowed","stacktrace":{"frames":[{"filename":"https://web.archive.org/static/bower_components/wayback-search-js/dist/vendor.9ec7ac6759304bcd4fcb.js","lineno":1,"colno":1,"function":"?","in_app":true},{"filename":"https://web.archive.org/static/bower_components/wayback-search-js/dist/manifest.a780c2be7240369dba64.js","lineno":1,"colno":418,"function":"window.webpackJsonp","in_app":true},{"filename":"https://web.archive.org/static/bower_components/wayback-search-js/dist/manifest.a780c2be7240369dba64.js","lineno":1,"colno":101,"function":"n","in_app":true},{"filename":"https://web.archive.org/static/bower_components/wayback-search-js/dist/vendor.9ec7ac6759304bcd4fcb.js","lineno":1,"colno":1251204,"function":"Object.","in_app":true},{"filename":"https://web.archive.org/static/bower_components/wayback-search-js/dist/manifest.a780c2be7240369dba64.js","lineno":1,"colno":101,"function":"n","in_app":true},{"filename":"https://web.archive.org/static/bower_components/wayback-search-js/dist/vendor.9ec7ac6759304bcd4fcb.js","lineno":1,"colno":248121,"function":"Object.","in_app":true},{"filename":"https://web.archive.org/static/bower_components/wayback-search-js/dist/vendor.9ec7ac6759304bcd4fcb.js","lineno":1,"colno":247664,"function":"Object.","in_app":true}]}}]},"culprit":"https://web.archive.org/static/bower_components/wayback-search-js/dist/vendor.9ec7ac6759304bcd4fcb.js","extra":{"session:duration":393},"event_id":"(snip)"}

    
risposta data 09.07.2017 - 00:38
fonte
0

Non presumo che tu stia "bene" perché usi un browser o un altro ... ci sono molte variabili in gioco qui (nessun gioco di parole).

Non sono sicuro che dovrebbe essere preoccupato, ma questa è una domanda molto interessante per me. È bene sapere che Firefox avvisa di questo, al contrario degli altri browser sopra menzionati, e ci sono ulteriori passi che puoi compiere per mitigare questo tipo di cose ...

Potresti proteggerti non solo da questa particolare vulnerabilità potenziale, ma anche da altri simili (oggigiorno, i browser sono spesso i migliori gateway per il malware a trovarlo nei personal computer) eseguendo un paio di estensioni del browser progettate per proteggerti da questi tipi di attacchi, come NoScript (a deve avere a mio parere), e HTTPS Everywhere-.

NoScript è progettato specificamente per impedire il funzionamento di JS malevolo prima che causi il danno, e HTTPS Everywhere tenta, beh ... di usare HTTPS, se disponibile, ovunque. Questo può aiutare a prevenire l'iniezione di script dannosi da parte di un aggressore MITM. Consiglio vivamente questi plugin.

    
risposta data 09.07.2017 - 01:02
fonte
-3

In generale, penso che dovresti essere a posto finchè rimani con Chrome e Firefox, poiché entrambi stanno bloccando gli script non sicuri.

    
risposta data 08.07.2017 - 23:21
fonte

Leggi altre domande sui tag