Firefox "esta conexión no es segura" para el formulario de inicio de sesión

Question 1

Dicen que el inicio de sesión está muy bien enviado encriptado.

Eso esno es suficiente. No importa si el formulario de inicio de sesión se envía a un destino HTTPS si la página en la que se muestra el formulario de inicio de sesión no está cifrada.

En realidad esto se explicaen la propia documentación de Mozilla.

Creo que esto es lo que estás viendo:

El formulario de inicio de sesión se muestra en un sitio HTTP
El botón de envío del formulario de inicio de sesión va a un sitio HTTPS

Esto es lo que se requiere para estar seguro:

El formulario de inicio de sesión se muestra en un HTTPSsitio
El botón de envío del formulario de inicio de sesión va a un sitio HTTPS

Otra posibilidades que han incrustado un iframe HTTPS dentro de un documento HTTP, lo que genera problemas similares.

¿Por qué? Debido a que el formulario de inicio de sesión en sí no es seguro, no hay nada que impida que un atacante modifique dicho formulario. Esto significa que puedencambiarel formulario y enviarlo a un sitio que no sea HTTPS, ¡o incluso a otro sitio web completo! También podrían inyectar un script que capture sus pulsaciones de teclas y las envíe a un sitio controlado por un atacante incluso antes de que envíe el inicio de sesión.

Después de esto, Firefox mostrará la advertencia si el formulario de inicio de sesión se detecta en un sitio que no es HTTPS, sin importar lo que envíe.a.

Este es un problema muy común y muchos operadores de sitios (incluidos sitios que se esperaría que fueran muy seguros, por ejemplo, bancos) no parecen estar al tanto (o simplemente no les importa). Troy Hunt tiene algunas publicaciones de blog excelentes que exploran este tema.que data de hace cinco años. Y por supuesto que esSigue siendo un problema común hoy en día..

Answer

Dicen que el inicio de sesión está muy bien enviado encriptado.

Eso esno es suficiente. No importa si el formulario de inicio de sesión se envía a un destino HTTPS si la página en la que se muestra el formulario de inicio de sesión no está cifrada.

En realidad esto se explicaen la propia documentación de Mozilla.

Creo que esto es lo que estás viendo:

El formulario de inicio de sesión se muestra en un sitio HTTP
El botón de envío del formulario de inicio de sesión va a un sitio HTTPS

Esto es lo que se requiere para estar seguro:

El formulario de inicio de sesión se muestra en un HTTPSsitio
El botón de envío del formulario de inicio de sesión va a un sitio HTTPS

Otra posibilidades que han incrustado un iframe HTTPS dentro de un documento HTTP, lo que genera problemas similares.

¿Por qué? Debido a que el formulario de inicio de sesión en sí no es seguro, no hay nada que impida que un atacante modifique dicho formulario. Esto significa que puedencambiarel formulario y enviarlo a un sitio que no sea HTTPS, ¡o incluso a otro sitio web completo! También podrían inyectar un script que capture sus pulsaciones de teclas y las envíe a un sitio controlado por un atacante incluso antes de que envíe el inicio de sesión.

Después de esto, Firefox mostrará la advertencia si el formulario de inicio de sesión se detecta en un sitio que no es HTTPS, sin importar lo que envíe.a.

Este es un problema muy común y muchos operadores de sitios (incluidos sitios que se esperaría que fueran muy seguros, por ejemplo, bancos) no parecen estar al tanto (o simplemente no les importa). Troy Hunt tiene algunas publicaciones de blog excelentes que exploran este tema.que data de hace cinco años. Y por supuesto que esSigue siendo un problema común hoy en día..

Question 2

El navegador detecta que el sitio está haciendo al menos una de estas cosas:

No usandohttps
La conexión está solo parcialmente cifrada (sitios web con certificados autofirmados o certificados que no son emitidos por una autoridad confiable).
Está utilizando un cifrado débil.

Los dos últimos problemas son casos en los que, incluso utilizando el cifrado, la conexión no está totalmente cifrada o no está totalmente cifrada, lo que abre la puerta a escuchas ilegales o ataques de intermediarios.

Puedes ir a 'Más información' y comprobar el cifrado utilizado:

Y haciendo clic enVer CertificadoPuedes ver los detalles del certificado utilizado por el sitio web:

Answer

El navegador detecta que el sitio está haciendo al menos una de estas cosas:

No usandohttps
La conexión está solo parcialmente cifrada (sitios web con certificados autofirmados o certificados que no son emitidos por una autoridad confiable).
Está utilizando un cifrado débil.

Los dos últimos problemas son casos en los que, incluso utilizando el cifrado, la conexión no está totalmente cifrada o no está totalmente cifrada, lo que abre la puerta a escuchas ilegales o ataques de intermediarios.

Puedes ir a 'Más información' y comprobar el cifrado utilizado:

Y haciendo clic enVer CertificadoPuedes ver los detalles del certificado utilizado por el sitio web:

Firefox "esta conexión no es segura" para el formulario de inicio de sesión

Respuesta1

Respuesta2

información relacionada