Reparando el warning de IE 8 – ‘Desea ver el contenido de la pagina web que se entrego de forma segura?’

with 6 comments

Este es un warning de seguridad que aparece desde la versión 8 de IE. En versiones anteriores, el cuadro de diálogo similar que obteniamos era:

Si mal no recuerdo, solamente era necesario aceptar una vez y este no regresaba durante la visita de toda la página. En cambio el que ahora obtenemos, es recurrente y en lugar de aceptar la opción positiva por defecto, debemos ir por el contrario. Este es el nuevo cuadro que obtenemos:

¿Desea ver el contenido de la página web que se entregó de forma segura?

El Problema

Para comenzar a entender el porque del problema, tenemos que tener en cuenta que una página web accesa y utiliza recursos, como imagenes, por medio del protocolo HTTP, a menos que se indique lo contrario.

Si hemos designado el acceso a  un página segura bajo el protocolo HTTPS y necesitamos recurrir a recursos bajo el protocolo HTTP, IE 8 interrumpe la descarga y despliega un cuadro de dialogo de confirmación cada vez que detecta el uso de contenido «mixto» en una página segura.

Anular el aviso

Para usuarios que se cansaron de obtener el cuadro de diálogo, la forma de deshabilitar este aviso warning se hace de la siguiente forma:

1. Herramientas->Opciones de Internet->Seguridad
2. Pestaña ‘Seguridad’
3. Click en ‘Personalizar’
4. En la sección ‘Miscelaneo’ habilitar “Desplegar contenido mixto”.

Las consecuencias de habilitar el contenido mixto son la vulnerabilidad a scripts malignos insertados en las páginas web. Ingresar en una página segura, significa que la información que se transmitirá entre el cliente y el servidor es confidencial y/o requiere mayor control. Por esta razón, parece coherente que IE nos advierta que en la página bajo el protocolo HTTPS existe contenido que no se accesará de la misma manera. Una de las vulnerabilidades comúnes del protocolo HTTPS es la captura de cookies. Esto puede suceder por medio de algún script o malware que oye el puerto 443 y reenvia los datos del mismo al atacante, si esto tiene lugar, la seguridad del HTTPS se vulneró por completo.   

Recomendación  

La mejor práctica es habilitar esta opción cada vez que realizemos alguna transacción confidencial, de esta manera sabremos si, por ejemplo, el portal del banco que utilizamos tiene contenido mixto. Generalmente, el aceptar el mensaje de aviso, generará que la página no muestra las imagenes, no contabilize el acceso por medio de algún script como Google analytics, no se utilize alguna librería externa hospedada en algún servidor externo.

Para desarrolladores

Cuando estamos desarrollando una pàgina web segura, necesitamos considerar esta restricción que IE8 implementa. Espero que este tipo de práctica se expanda en los demás buscadores, porque aunque molestoso, es necesario para estar conscientes de la seguridad.

Evitar el contenido mixto es importante ahora, especialmente con este restricción del IE 8.  Lo recomendable es no utilizar servicios «third party» como los analytics o las redes de entrega de contenidos en páginas seguras. Algo que siempre es detectado como contenido mixto no seguro son las librerias de AJAX de Google y los scripts de registro estadistico de visitas.

La práctica más recomendable es siempre enlazar recursos y contenidos en el mismo protocolo. Si estamos dentro de una página HTTPS, todos los enlaces deberían hacer llamadas a recursos dentro del mismo protocolo. (ej. imagenes, páginas, scripts, CSS, javascript, etc).

Herramientas

Una de las herramientas más útiles para analizar tu página es HttpWatch. La versión gratuita es suficiente para los análizis. En las páginas con problemas de contendio mixto, puedes correr esta aplicación y te mostrará los enlaces que están causando la advertencia.

0.000000 0.000000

Written by Johann Arispe

21 enero 2010 a 10:53 am

Publicado en HTTPS, IE, Programación Web

Tagged with HTTPS, Internet Explorer 8, seguridad web