Soporte Web

Blog de soporte al desarrollo Web

Reparando el warning de IE 8 – ‘Desea ver el contenido de la pagina web que se entrego de forma segura?’

with 6 comments

Este es un warning de seguridad que aparece desde la versión 8 de IE. En versiones anteriores, el cuadro de diálogo similar que obteniamos era:

Si mal no recuerdo, solamente era necesario aceptar una vez y este no regresaba durante la visita de toda la página. En cambio el que ahora obtenemos, es recurrente y en lugar de aceptar la opción positiva por defecto, debemos ir por el contrario. Este es el nuevo cuadro que obtenemos:

¿Desea ver el contenido de la página web que se entregó de forma segura?

El Problema

Para comenzar a entender el porque del problema, tenemos que tener en cuenta que una página web accesa y utiliza recursos, como imagenes, por medio del protocolo HTTP, a menos que se indique lo contrario.

Si hemos designado el acceso a  un página segura bajo el protocolo HTTPS y necesitamos recurrir a recursos bajo el protocolo HTTP, IE 8 interrumpe la descarga y despliega un cuadro de dialogo de confirmación cada vez que detecta el uso de contenido “mixto” en una página segura.

Anular el aviso

Para usuarios que se cansaron de obtener el cuadro de diálogo, la forma de deshabilitar este aviso warning se hace de la siguiente forma:

  1. Herramientas->Opciones de Internet->Seguridad
  2. Pestaña ‘Seguridad’
  3. Click en ‘Personalizar’
  4. En la sección ‘Miscelaneo’ habilitar “Desplegar contenido mixto”.

Las consecuencias de habilitar el contenido mixto son la vulnerabilidad a scripts malignos insertados en las páginas web. Ingresar en una página segura, significa que la información que se transmitirá entre el cliente y el servidor es confidencial y/o requiere mayor control. Por esta razón, parece coherente que IE nos advierta que en la página bajo el protocolo HTTPS existe contenido que no se accesará de la misma manera. Una de las vulnerabilidades comúnes del protocolo HTTPS es la captura de cookies. Esto puede suceder por medio de algún script o malware que oye el puerto 443 y reenvia los datos del mismo al atacante, si esto tiene lugar, la seguridad del HTTPS se vulneró por completo.   

Recomendación  

La mejor práctica es habilitar esta opción cada vez que realizemos alguna transacción confidencial, de esta manera sabremos si, por ejemplo, el portal del banco que utilizamos tiene contenido mixto. Generalmente, el aceptar el mensaje de aviso, generará que la página no muestra las imagenes, no contabilize el acceso por medio de algún script como Google analytics, no se utilize alguna librería externa hospedada en algún servidor externo.

Para desarrolladores

Cuando estamos desarrollando una pàgina web segura, necesitamos considerar esta restricción que IE8 implementa. Espero que este tipo de práctica se expanda en los demás buscadores, porque aunque molestoso, es necesario para estar conscientes de la seguridad.

Evitar el contenido mixto es importante ahora, especialmente con este restricción del IE 8.  Lo recomendable es no utilizar servicios “third party” como los analytics o las redes de entrega de contenidos en páginas seguras. Algo que siempre es detectado como contenido mixto no seguro son las librerias de AJAX de Google y los scripts de registro estadistico de visitas.

La práctica más recomendable es siempre enlazar recursos y contenidos en el mismo protocolo. Si estamos dentro de una página HTTPS, todos los enlaces deberían hacer llamadas a recursos dentro del mismo protocolo. (ej. imagenes, páginas, scripts, CSS, javascript, etc).

Herramientas

Una de las herramientas más útiles para analizar tu página es HttpWatch. La versión gratuita es suficiente para los análizis. En las páginas con problemas de contendio mixto, puedes correr esta aplicación y te mostrará los enlaces que están causando la advertencia.

About these ads

Written by Johann Arispe

21 enero 2010 a 10:53 am

6 comentarios

Suscríbete a los comentarios mediante RSS.

  1. Muy util el post, a mi me molestaba mucho esa ventana de seguridad y estaba buscando como quitarla, pero ahora que veo que es bien importante para la exploracion la dejare. Saludos.

    llamadasfree

    24 mayo 2010 at 4:24 pm

  2. GRACIAS! :D IA ME HABÍA HARTADO LA VENTANITA

    Ivette

    30 agosto 2010 at 4:03 pm

  3. GRACIAS POR SU AYUDA YA QUE NO ENCONTRABA RESPUESTA AL PROBLEMA QUE TENIA PARA PODER TENER ACCESO A UNA PAGINA WEB

    rodrigo

    25 septiembre 2010 at 12:50 pm

  4. Hola, gracias por la información, a pesar de que es super fastidiosa la ventanita, ahora veo que tiene su razón de ser, gracias por la información, me armare de paciencia para verla chorrocientas veces al día jaja

    Fidel

    4 febrero 2011 at 4:50 pm

  5. Hola, tengo una pregunta: ¿entonces, para evitar este aviso, se debe evitar poner links en el cuerpo del texto de los artículos de una web segura, si estos no son https?
    Mi duda viene a que no sé si el aviso sale porque la web se quiere bajar recursos de una web no segura (por ejemplo algún script), o si también sale porque por ejemplo en un artículo puse un link a una web con http (aunque sea solo un link, y no se descargue nada de ella).

    Gracias!

    Argie

    1 octubre 2012 at 4:52 am

    • Hola Argie, Los links en el contenido no causan este mensaj ya que al momento de generar el HTML no se los activa, solo se los despliega. Generalmente, un script que trata de obtener recursos de otros sitios no HTTPS, causara que el mensaje aparezca, ya que el contenido del sitio se convierte en mixto. Dale una mirada a tus scripts y ve si estos estan haciendo llamadas a sitios no seguros.

      Johann Arispe

      1 octubre 2012 at 11:29 am


Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

%d personas les gusta esto: