Dai un'occhiata all'immagine sottostante.
Questa pagina non viene caricata su https, quindi come fanno i browser moderni ad assicurarsi che questo la pagina è sicura?
Dai un'occhiata all'immagine sottostante.
Questa pagina non viene caricata su https, quindi come fanno i browser moderni ad assicurarsi che questo la pagina è sicura?
Da cosa puoi proteggerlo? Viene caricato direttamente nel browser. Non c'è connessione al di fuori del contesto utente locale della macchina, il che significa che non c'è nulla da intercettare / manomettere.
Per modificare ciò che vedi dovresti modificare l'eseguibile del browser, lo spazio di memoria o modificare i dati sottostanti utilizzati per memorizzare le impostazioni. Per leggere i valori dovresti essere in grado di leggere lo spazio di memoria del browser o i file sottostanti. Tutti questi sono end-game. Se un attore malintenzionato può farlo, ha il pieno controllo e non c'è modo di proteggerlo.
Questa pagina non viene caricata su https
Non viene caricata su nulla . Il browser lo visualizza solo all'interno di un frame del browser perché quel frame ha già la capacità di visualizzare i moduli web, quindi lo stesso codice viene utilizzato per visualizzare questo modulo, anche se non proviene dal web.
Come hanno già detto altre risposte, la pagina è sicura perché viene caricata dal browser, non trasmessa o accessibile da nessun altro.
Ma perché Chrome si preoccupa di contrassegnare tali una pagina ovviamente sicura quanto sicura? Per mitigare eventuali tentativi di phishing. Sarebbe banale creare una falsa pagina delle "impostazioni" e mostrartela per indurti a intraprendere azioni. ( Mi sembra improbabile che qualcuno si innamori effettivamente di aprire una falsa pagina delle impostazioni, ma la creduloneria degli utenti mi stupisce sempre. )
Questa bandiera è solo un altro tentativo nel tentativo di rendere gli utenti più consapevoli per evitare errori stupidi, dal momento che sono di gran lunga l'anello più debole della catena della sicurezza.
Le pagine delle impostazioni vengono caricate dalla macchina locale, non vengono recuperate su una rete e quindi non possono essere soggette ad un attacco MITM. Alcune di queste pagine possono richiedere risorse web effettive, ma queste vengono solitamente ricevute tramite HTTPS.
Inoltre, i fornitori di browser hanno stabilito alcuni pseudo-protocolli per distinguere le impostazioni / URL di sistema spesso privilegiati dalle risorse web. Esempi di questi sono about:
o chrome:
. Come ulteriore misura di protezione, la maggior parte di questi URL non può essere aperta da un dominio non privilegiato.
Cioè, un normale sito web non può nemmeno aprire (o collegarsi alla) pagina delle impostazioni del browser:
(Mozilla Firefox)
(Google Chrome)
Guarda il protocollo. È chrome: // non https.
Internet ha dozzine di protocolli e ognuno ha il proprio modello di sicurezza (o la sua mancanza). sftp
è sicuro, ftp
non lo è, irc
non lo è, ecc.
file: //
accede solo ai file locali sul disco rigido. Non comunica su Internet affatto , quindi è sicuro.
chrome: //
è simile. Rimane all'interno di Chrome e non viene trasmesso da nessuna parte, quindi di nuovo sicuro per natura.
È proprio come aprire un documento di testo memorizzato localmente.
Non c'è comunicazione con un altro server durante l'apertura del file di testo e l'unico modo per modificare il contenuto del file è se un attaccante ha accesso diretto al sistema.
È un modo sicuro per osservare il contenuto di un file.
Nel caso della pagina delle impostazioni, non viene caricato da un server web, è solo visualizzato in Chrome come se fosse un sito web.
Le pagine vengono caricate localmente, il che significa che puoi caricare qualsiasi pagina chrome: // senza connessione a Internet.
Per questo motivo, non c'è nulla da intercettare poiché nessuna informazione viene mai trasmessa a Internet (tranne ovviamente per cose come il download di aggiornamenti, nel qual caso utilizzerà https per il download).