Firefox "esta conexión no es segura" para el formulario de inicio de sesión

0

Así que en un sitio web obtengo esta ventana emergente de Firefox: enter image description here

Seguí adelante y le pregunté al sitio web sobre el tema y dicen que el inicio de sesión está muy bien cifrado. ¿Por qué todavía me sale la ventana emergente? ¿Quién miente? ¿Cómo puedo averiguarlo?

firefox https zedoo
fuente
Ese es el comportamiento de advertencia que se introdujo no hace mucho tiempo en Firefox.
mvw
Chrome también lo tiene, creo.
Journeyman Geek
Probé la misma página en Chrome y Edge, ninguno de los cuales advirtió sobre el formulario.
zedoo
Y curiosamente, el soporte del sitio web me dijo que preguntara a los desarrolladores del navegador por qué pusieron falsas advertencias allí.
zedoo
@zedoo Chrome es un poco más sutil, con un "no seguro" en la parte superior izquierda. Y por supuesto el sitio culpará a los navegadores ... No fue que fue bien la última vez. . ¿Puedes compartir el sitio? Me gustaría echar un vistazo para confirmar.
Bob

Respuestas:

1

Dicen que el inicio de sesión está muy bien cifrado.

Eso es no es suficiente . No importa si el formulario de inicio de sesión se envía a un destino HTTPS si la página en la que se muestra el formulario de inicio de sesión no está encriptada.

Esto es realmente explicado en la propia documentación de Mozilla .

Creo que esto es lo que están viendo:

  • El formulario de inicio de sesión se muestra en un sitio HTTP
  • El botón de enviar formulario de inicio de sesión va a un sitio HTTPS

Esto es lo que se requiere para estar seguro:

  • El formulario de inicio de sesión se muestra en un HTTP S sitio
  • El botón de enviar formulario de inicio de sesión va a un sitio HTTPS

Otra posibilidad es que han incrustado un iframe HTTPS dentro de un documento HTTP, que se encuentra con problemas similares.

¿Por qué? Debido a que el formulario de inicio de sesión no está seguro, no hay nada que impida que un atacante modifique dicho formulario. Esto significa que pueden cambio el formulario y hágalo enviar a un sitio que no sea HTTPS, o incluso a otro sitio web por completo! También podrían inyectar un script que capture sus pulsaciones de teclas y las envíe a un sitio controlado por un atacante antes de que incluso envíe el inicio de sesión.

Después de esto, Firefox mostrará una advertencia si el formulario de inicio de sesión se detecta en un sitio que no es HTTPS, sin importar lo que envíe. a .

Este es un problema muy común y muchos operadores de sitios (incluidos los sitios que se espera que sean muy seguros, por ejemplo, los bancos) no parecen estar al tanto (o simplemente no les importa). Troy Hunt tiene algunas publicaciones de blog excelentes que exploran este tema, que data de hace cinco años . Y por supuesto que es sigue siendo un problema común hoy .

Bob
fuente
Muy bien explicado, incluso si es esencialmente lo que @jcbermu mencionó.
zedoo
4

El navegador detecta que el sitio está haciendo al menos una de estas cosas:

  • No usando https

  • La conexión solo está parcialmente encriptada (sitios web con certificados autofirmados o certificados que no son emitidos por una autoridad confiable).

  • Está utilizando encriptación débil.

Los dos últimos problemas son los casos en los que, incluso utilizando el cifrado, la conexión no está totalmente cifrada, lo que abre una puerta a las escuchas ilegales o los ataques de los intermediarios.

Puede ir a 'Más información' y verificar el cifrado utilizado:

enter image description here

Y haciendo clic en Ver Certificado Puede ver los detalles del certificado utilizado por el sitio web:

enter image description here

jcbermu
fuente