Cuando abrimos una página segura, es decir, servida a través del protocolo HTTPS, la información circula encriptada con SSL (Secure Sockets Layer) alejando la posibilidad de que puedan hacerse con información comprometida (sniffers) y evitar ataques de terceros (man in the middle), es decir, un ataque de un intruso que pueda detectar las peticiones de contenido HTTP, usando contenido activo (script, iframe, etc.) para obtener las credenciales del usuario, instalar malware y también obtener otros datos sensibles del usuario, etc..
Hay ocasiones en que el contenido de una web está encriptado parcialmente, y el contenido sin cifrar es susceptible de recibir ataques de índole comentado anteriormente. Cuando una web tiene contenido mixto, es decir, cifrado y sin cifrar, decimos que es una web con Contenido mixto.
¿Por qué yo opté por desbloquear el contenido no seguro por defecto? Desde Blogger, donde yo edito este blog, hasta un montón de páginas educativas, etc., me aparece el escudo de Firefox recordándome que contienen, además del contenido cifrado (SSL), contenido no cifrado, siendo un tedio para mí tener que desbloquear manualmente siempre el escudo para poder ver de forma adecuada las páginas. Asumo así también el supuesto riesgo que tengo, pero será mi problema si realmente sufro un ataque y comprometa mi seguridad informática. Por tanto, RECOMIENDO, antes de empezar con la configuración, que LEAN LAS SIGUIENTES WEBS: ¿Cómo afecta a mi seguridad el contenido no seguro? y el artículo de El Blog de Tanvi siguiente: Mixed Content Blocking Enabled in Firefox 23!; nadie así podrá echarme la culpa de los problemas que le pueda acarrear configurar Firefox del modo que yo lo tengo.
Par empezar entramos en la configuración de Firefox con la url about:config
Los manazas deben de extremar la precaución cuando cambien alguna variable en la configuración de Firefox.
Luego en el buscados escribimos "block_a", y nos encontramos con la siguiente preferencia: security.mixed_content.block_active_content
Hacemos doble click sobre la preferencia y del valor lógico True pasa a False, que es como debe de estar si deseamos desbloquear por defecto el contenido no seguro en las webs de contenido mixto. Cerramos la configuración y ya está activo el nuevo valor de la preferencia elegida.
Cuando abrimos de nuevo la página de contenido mixto donde anteriormente tendríamos que desbloquear el contenido no seguro manualmente, ahora nos aparece el escudo con una franja roja indicándonos que tenemos activo el contenido no seguro, que no deja de ser un poco lo que se tenía antes de que naciera el famoso escudo.
Es curioso, para visitar la web de mi banco nunca me pedía desbloquear nada, ni antes ni ahora, porque estaba totalmente encriptados sus contenidos; en alguna que otra tienda virtual o entornos virtuales de aprendizaje, antes me pedían desbloquear el contenido no seguro, pero cuando iba a pagar o introducir alguna contraseña de usuario siempre lo hacía con contendio encriptado (https). En fin, ahora no dejo de estar igual, pero un poco más cómodo, aunque tanto si el desbloqueo del contenido inseguro es manual o por defecto, siga brindando a un atacante cierta oportunidad de redirigir mi página o que me robe alguna cookie.
No hay comentarios:
Publicar un comentario