web-dev-qa-db-fra.com

Messages de sécurité contradictoires sur la page "chrome: // settings"; est-ce sécurisé ou non?

Accéder à chrome://settings page, je vois deux choses qui se contredisent:

chrome settings page

  • Le ruban sous la barre d'adresse affiche "Vous consultez une page Chrome sécurisée".

  • D'autre part, l'aperçu de la sécurité sous l'onglet sécurité dans les outils de développement Chromium indique "Cette page n'est pas sécurisée".

Quelqu'un a-t-il une idée de ce qui se passe ici?

  1. Pourquoi ces deux messages contradictoires? Une vulnérabilité ici?
  2. Est le chrome://settings page vraiment sécurisée?
  3. S'il n'est pas sécurisé, cela affecte-t-il le navigateur ou quelque chose comme ça?
  4. Quelle pourrait être une résolution possible?

EDIT: Je tiens à préciser que ma question est Why these two conflicting security messages ? et ce n'est qu'après cela que les questions de sécurité sont bien répondues par la question et que tout le monde semble marquer cette question en double:

Comment les navigateurs s'assurent-ils que leur page de paramètres est sécurisée?

Veuillez donc envisager de répondre à la question 1 du PO, puis suivez le reste.

Si vous pensez toujours que la question est un double, veuillez d'abord lire les réponses ci-dessous, puis comparez-la avec les réponses données aux questions pour lesquelles vous pensez que cette question est un double possible de.

Merci.

web-browserchromechromium
29
C0deDaedalus

Oui, votre page de paramètres est sécurisée. Ce que vous voyez n'est qu'une incohérence du côté de Chrome.

Dans les devtools, seules les connexions HTTPS valides sont étiquetées "sécurisées". D'autres documents, y compris les fichiers locaux et les pages de paramètres, sont affichés comme "non sécurisés", même s'ils ne transitent jamais par un réseau. La notion de "connexion sécurisée" ne s'applique tout simplement pas aux ressources locales. (Une page de paramètres est également locale.)

Pourquoi? Parce que le libellé est basé sur SecurityState d'un site qui est défini sur "neutre" pour les sites HTTP simples, les fichiers locaux et les pages de paramètres. Et un état de sécurité "neutre" est verbalisé comme "non sécurisé":

 const summaryExplanationStrings = {
 'unknown': Common.UIString ('La sécurité de cette page est inconnue.'), 
 'insecure': Common.UIString ('Cette page n'est pas sécurisé (HTTPS cassé). '), 
 'neutre': Common.UIString ('Cette page n'est pas sécurisée.'),
 'sécurisé': Common.UIString ('Cette page est sécurisée (HTTPS valide).') 
};

(Source)

Dans la barre d'adresse, cependant, Chrome a une étiquette spéciale pour afficher une page interne:

<message name="IDS_PAGE_INFO_INTERNAL_PAGE" desc="Message to display in the page
 info bubble when the page you are on is a chrome:// page or about:something.">
    You are viewing a secure Google Chrome page.
</message>

(Source)

Par conséquent, les textes diffèrent. En fin de compte, les indicateurs de sécurité dans la barre d'adresse devraient être votre moyen de vérification préféré. Dans d'autres endroits, tels que les devtools, l'interface utilisateur peut ne pas être aussi claire.

46
Arminius