Firefox “esta conexão não é segura” para formulário de login

Question 1

dizem que o login é muito bem enviado criptografado

Isso énão esta bom o suficiente. Não importa se o formulário de login é enviado para um destino HTTPS se a página em que o formulário de login é mostrado não estiver criptografada.

Na verdade isso é explicadona própria documentação da Mozilla.

Acredito que é isso que você está vendo:

O formulário de login é exibido em um site HTTP
O botão de envio do formulário de login leva para um site HTTPS

Isto é o que é necessário para ser seguro:

O formulário de login é exibido em um HTTPSsite
O botão de envio do formulário de login leva para um site HTTPS

Outra possibilidadeé que eles incorporaram um iframe HTTPS dentro de um documento HTTP, o que apresenta problemas semelhantes.

Por que? Como o formulário de login em si não é seguro, nada impede um invasor de modificar esse formulário. Isso significa que eles podemmudaro formulário e envie-o para um site não HTTPS, ou até mesmo para outro site! Eles também podem injetar um script que captura suas teclas pressionadas e as envia para um site controlado pelo invasor antes mesmo de você enviar o login.

Depois disso, o Firefox mostrará o aviso se o próprio formulário de login for detectado em um site não HTTPS, não importa o que esteja enviandopara.

Este é um problema muito comum e muitos operadores de sites (incluindo sites que você esperaria que fossem muito seguros, por exemplo, bancos) não parecem estar cientes (ou simplesmente não se importam). Troy Hunt tem ótimas postagens no blog explorando esse problema,datando de cinco anos atrás. E é claro que éainda é um problema comum hoje.

Answer

dizem que o login é muito bem enviado criptografado

Isso énão esta bom o suficiente. Não importa se o formulário de login é enviado para um destino HTTPS se a página em que o formulário de login é mostrado não estiver criptografada.

Na verdade isso é explicadona própria documentação da Mozilla.

Acredito que é isso que você está vendo:

O formulário de login é exibido em um site HTTP
O botão de envio do formulário de login leva para um site HTTPS

Isto é o que é necessário para ser seguro:

O formulário de login é exibido em um HTTPSsite
O botão de envio do formulário de login leva para um site HTTPS

Outra possibilidadeé que eles incorporaram um iframe HTTPS dentro de um documento HTTP, o que apresenta problemas semelhantes.

Por que? Como o formulário de login em si não é seguro, nada impede um invasor de modificar esse formulário. Isso significa que eles podemmudaro formulário e envie-o para um site não HTTPS, ou até mesmo para outro site! Eles também podem injetar um script que captura suas teclas pressionadas e as envia para um site controlado pelo invasor antes mesmo de você enviar o login.

Depois disso, o Firefox mostrará o aviso se o próprio formulário de login for detectado em um site não HTTPS, não importa o que esteja enviandopara.

Este é um problema muito comum e muitos operadores de sites (incluindo sites que você esperaria que fossem muito seguros, por exemplo, bancos) não parecem estar cientes (ou simplesmente não se importam). Troy Hunt tem ótimas postagens no blog explorando esse problema,datando de cinco anos atrás. E é claro que éainda é um problema comum hoje.

Question 2

O navegador detecta que o site está fazendo pelo menos uma destas coisas:

Não usehttps
A conexão é apenas parcialmente criptografada (sites com certificados autoassinados ou certificados que não são emitidos por uma autoridade confiável).
Está usando criptografia fraca.

Os dois últimos problemas são casos em que mesmo usando criptografia, a conexão não é forte ou totalmente criptografada, abrindo uma porta para espionagem ou ataques man-in-the-middle.

Você pode ir em ‘Mais informações’ e verificar a criptografia utilizada:

E clicando emVer certificadovocê pode ver os detalhes do certificado usado pelo site:

Answer

O navegador detecta que o site está fazendo pelo menos uma destas coisas:

Não usehttps
A conexão é apenas parcialmente criptografada (sites com certificados autoassinados ou certificados que não são emitidos por uma autoridade confiável).
Está usando criptografia fraca.

Os dois últimos problemas são casos em que mesmo usando criptografia, a conexão não é forte ou totalmente criptografada, abrindo uma porta para espionagem ou ataques man-in-the-middle.

Você pode ir em ‘Mais informações’ e verificar a criptografia utilizada:

E clicando emVer certificadovocê pode ver os detalhes do certificado usado pelo site:

Firefox “esta conexão não é segura” para formulário de login

Responder1

Responder2

informação relacionada