it-swarm-eu.dev

In che modo i browser si assicurano che la loro pagina delle impostazioni sia sicura

Dai un'occhiata all'immagine qui sotto.

settings page

Questa pagina non è caricata su https, quindi come fanno i browser moderni a garantire che questa pagina sia sicura?

24
ThankYouSRT

Cosa c'è da cui proteggerlo? Viene caricato direttamente nel browser. Non esiste alcuna connessione al di fuori del contesto utente locale della macchina, il che significa che non c'è nulla da intercettare/manomettere.

Per modificare ciò che vedi dovresti modificare l'eseguibile del browser, lo spazio di memoria o i dati sottostanti utilizzati per memorizzare le impostazioni. Per leggere i valori dovresti essere in grado di leggere lo spazio di memoria del browser o i file sottostanti. Tutti questi sono end-game. Se un attore malintenzionato può farlo, ha il pieno controllo e non c'è modo di proteggerlo.

153
Hector

Questa pagina non è caricata su https

Non è caricato su nulla. Il browser lo sta semplicemente visualizzando all'interno di un frame del browser perché quel frame ha già la possibilità di visualizzare moduli Web, quindi lo stesso codice viene utilizzato per visualizzare questo modulo, anche se non proviene dal Web.

91
David Richerby

Come hanno già detto altre risposte, la pagina è sicura perché viene caricata dal browser, non trasmessa o accessibile da nessun altro.

Ma perché Chrome si preoccupa di contrassegnare una pagina così ovviamente sicura come sicura? Per mitigare eventuali tentativi di phishing. banale creare una falsa pagina di "impostazioni" e servirti per indurti a intraprendere azioni. ( Mi sembra improbabile che qualcuno cada davvero per aver aperto una pagina di impostazioni false, ma gli utenti " la creduloneria mi stupisce sempre. )

Questo flag è solo un altro tentativo nel tentativo di rendere gli utenti più consapevoli per evitare errori sciocchi, dal momento che sono di gran lunga il anello più debole della catena di sicurezza.

37
Kallmanation

Le pagine delle impostazioni vengono caricate dal computer locale, non vengono recuperate su una rete e pertanto non possono essere soggette a un attacco MITM. Alcune di queste pagine potrebbero richiedere risorse Web effettive, ma di solito vengono ricevute tramite HTTPS.

Inoltre, i fornitori di browser hanno stabilito alcuni pseudo-protocolli per distinguere le impostazioni spesso privilegiate/gli URL di sistema dalle risorse Web. Esempi di questi sono about: o chrome:. Come ulteriore misura di protezione, la maggior parte di questi URL non può essere aperta da un dominio non privilegiato.

Cioè, un normale sito Web non può nemmeno aprire (o collegare) la pagina delle impostazioni del browser:

Mozilla Firefox

(Mozilla Firefox)

Google Chrome

(Google Chrome)

30
Arminius

Guarda il protocollo. È chrome: // non https.

Internet ha dozzine di protocolli e ognuno ha il suo modello di sicurezza (o la sua mancanza). sftp è sicuro, ftp non lo è, irc non lo è, ecc.

file:// accede solo ai file locali sul disco rigido. Non comunica affatto su Internet , quindi è sicuro.

chrome:// è simile. Rimane all'interno di Chrome e non viene passato da nessuna parte, quindi di nuovo, sicuro per natura.

È come aprire un documento di testo memorizzato localmente.

Non vi è comunicazione con un altro server durante l'apertura del file di testo e l'unico modo per modificare il contenuto del file è se un utente malintenzionato ha accesso diretto al sistema.

È un modo sicuro per osservare il contenuto di un file.

Nel caso della pagina delle impostazioni, non viene caricato da un server Web, è solo visualizzato in Chrome come se fosse un sito Web.

5
Joe

Le pagine vengono caricate localmente, il che significa che è possibile caricare qualsiasi pagina chrome: // senza connessione a Internet.

Per questo motivo, non c'è nulla da intercettare poiché nessuna informazione viene mai trasmessa a Internet (tranne ovviamente per cose come il download degli aggiornamenti, nel qual caso utilizzerà https per il download).

4
Nate D