web-dev-qa-db-fra.com

Comment les navigateurs s'assurent-ils que leur page de configuration est sécurisée

Jetez un oeil à l'image ci-dessous.

settings page

Cette page n'est pas chargée via https, alors comment les navigateurs modernes s'assurent-ils que cette page est sécurisée?

24
ThankYouSRT

De quoi existe-t-il pour le sécuriser? Il est chargé directement dans le navigateur. Il n'y a pas de connexion en dehors du contexte utilisateur local de la machine, ce qui signifie qu'il n'y a rien à intercepter/falsifier.

Pour modifier ce que vous voyez, vous devez soit modifier l'exécutable du navigateur, l'espace mémoire ou modifier les données sous-jacentes utilisées pour stocker les paramètres. Pour lire les valeurs, vous devez pouvoir lire l'espace mémoire du navigateur ou les fichiers sous-jacents. Tous ces éléments sont en fin de partie. Si un acteur malveillant peut le faire, il a le contrôle total et il n'y a aucun moyen de s'en protéger.

153
Hector

Cette page n'est pas chargée sur https

Il n'est pas chargé sur n'importe quoi. Le navigateur l'affiche simplement dans un cadre de navigateur, car ce cadre a déjà la possibilité d'afficher des formulaires Web, donc le même code est utilisé pour afficher ce formulaire, même s'il ne provient pas du Web.

91
David Richerby

Comme d'autres réponses l'ont dit, la page est sécurisée car elle est chargée à partir du navigateur, non transmise ou accessible à quiconque.

Mais pourquoi Chrome prend la peine de marquer une page aussi sécurisée de manière sécurisée? Pour limiter les tentatives de phishing. Ce serait trivial pour créer une fausse page de paramètres et vous la servir pour vous inciter à prendre des mesures. ( Il me semble peu probable que quelqu'un tombe réellement amoureux de l'ouverture d'une fausse page de paramètres, mais les utilisateurs ' la crédulité m'étonne toujours. )

Ce drapeau est juste une autre tentative pour essayer de sensibiliser les utilisateurs pour éviter les erreurs stupides, car ils sont de loin le maillon le plus faible de la chaîne de sécurité.

37
Kallmanation

Les pages de paramètres sont chargées à partir de la machine locale, elles ne sont pas récupérées sur un réseau et ne peuvent donc pas être soumises à une attaque MITM. Certaines de ces pages peuvent demander des ressources Web réelles, mais elles sont généralement reçues via HTTPS.

De plus, les fournisseurs de navigateurs ont établi certains pseudo-protocoles pour distinguer les paramètres/URL système souvent privilégiés des ressources Web. Des exemples de ceux-ci sont about: ou chrome:. Comme mesure de protection supplémentaire, la plupart de ces URL ne peuvent pas être ouvertes à partir d'un domaine non privilégié.

Autrement dit, un site Web normal ne peut même pas ouvrir (ou créer un lien vers) la page des paramètres du navigateur:

Mozilla Firefox

(Mozilla Firefox)

Google Chrome

(Google Chrome)

30
Arminius

Regardez le protocole. C'est chrome: // pas https.

Internet a des dizaines de protocoles et chacun a son propre modèle de sécurité (ou son absence). sftp est sécurisé, ftp ne l'est pas, irc ne l'est pas, etc.

file:// accède uniquement aux fichiers locaux sur votre disque dur. Il ne communique pas du tout sur Internet , il est donc sécurisé.

chrome:// est similaire. Il reste dans Chrome et n'est transmis nulle part, donc encore une fois, sécurisé par nature.

C'est comme ouvrir un document texte stocké localement.

Il n'y a pas de communication avec un autre serveur lors de l'ouverture du fichier texte et la seule façon de modifier le contenu du fichier est si un attaquant a un accès direct au système.

C'est un moyen sûr d'observer le contenu d'un fichier.

Dans le cas de la page des paramètres, elle n'est pas chargée à partir d'un serveur Web, elle est juste affichée dans Chrome comme s'il s'agissait d'un site Web.

5
Joe

Les pages sont chargées localement, ce qui signifie que vous pouvez charger n'importe quelle page chrome: // sans connexion Internet.

Pour cette raison, il n'y a rien à intercepter car aucune information n'est jamais transmise à Internet (sauf bien sûr pour des choses comme le téléchargement de mises à jour, auquel cas il utilisera https pour télécharger).

4
Nate D