Saltar al contenido principal
pdf?stylesheet=default
Blackboard Help

Seguridad del navegador y contenido mixto

 Google Chrome y Mozilla Firefox tienen implementados procesos de bloqueo del contenido mixto para proteger los equipos de ataques de seguridad lanzados por contenido no seguro al que se hace referencia en páginas seguras.

Seguridad: contenido mixto en páginas de sitios web

¿Qué es el contenido mixto y por qué es importante?

Los sitios web en los que se solicita información confidencial, como nombres de usuario y contraseñas, normalmente utilizan conexiones seguras (HTTPS) para intercambiar contenido con el equipo. Si visita un sitio a través de una conexión segura, tanto Google Chrome como Firefox verifican que el contenido de la página web se haya transmitido de forma segura. Si alguno de los dos navegadores detecta que en la página hay ciertos tipos de contenido procedentes de canales no seguros (HTTP), evitará automáticamente que dicho contenido se cargue. Verá que aparece el icono de un escudo en la barra de direcciones.

Al bloquear el contenido y los posibles agujeros de seguridad, Chrome y Firefox evitan que la información que ha introducido en la página caiga en manos equivocadas.

Tipos de contenido mixto

Hay dos tipos de contenido que pueden afectar a la experiencia del usuario cuando este visualiza una página web. En el contexto del contenido mixto, cada uno de estos tipos tiene varios niveles de riesgo:

Contenido mixto pasivo o de visualización

El contenido mixto pasivo es contenido HTTP de un sitio web HTTPS que no puede modificar el modelo DOM (Document Object Model) de la página web.  Dicho de otra manera, el contenido HTTP pasivo tiene un efecto limitado en el sitio web HTTPS.  Por ejemplo, un atacante puede sustituir una imagen servida a través de HTTP por una imagen inapropiada o un mensaje que confunda al usuario. Sin embargo, no podrá afectar al resto de la página web, solo a la sección de la página en la que se carga la imagen.

Un atacante puede deducir información sobre la actividad de navegación del usuario observando las imágenes que se le sirven, que le permiten deducir las páginas que ha visto. Además, si observa los encabezados HTTP enviados para recuperar y presentar la imagen, el atacante puede ver la cadena de agente del usuario y las cookies asociadas con el dominio al que se solicita la imagen. Si el contenido lo sirve el mismo dominio que la página web principal, la información de la sesión queda potencialmente expuesta evitando la protección que HTTPS proporciona a la cuenta de usuario.

Algunos ejemplos de contenido pasivo son las imágenes, los archivos de audio y las cargas de vídeo.

Contenido mixto activo o contenido de secuencias de comandos

El contenido activo es contenido que tiene acceso a todo el DOM (Document Object Model) de una página HTTPS o a partes de él y, por lo tanto, puede afectarlo. Este tipo de contenido mixto puede alterar el comportamiento de una página HTTPS y robar datos confidenciales del usuario. Además de los riesgos ya descritos anteriormente relativos al contenido mixto pasivo, el contenido mixto activo también está expuesto a una serie de vectores de ataque potenciales.

Ejemplo: Un atacante de tipo "Man In The Middle" (MITM) puede interceptar solicitudes de contenido activo HTTP. A continuación, puede volver a escribir la respuesta para incluir código JavaScript malintencionado. Las secuencias de comandos malintencionadas pueden robar las credenciales o los datos confidenciales del usuario o bien intentar instalar malware en su sistema (por ejemplo, aprovechando complementos vulnerables que el usuario haya instalado).

Algunos ejemplos de contenido activo son JavaScript, CSS, los objetos, las solicitudes xhr, los iframes y las fuentes.

Eliminar la necesidad de controles de navegador de usuario

Para eliminar la necesidad de controles de usuario, todo el contenido (pasivo y activo) se debe servir a través de HTTPS.

Administración del contenido mixto por navegador...

En las secciones siguientes se describe cómo administrar los controles de navegador para acceder al contenido mixto en el caso de Google Chrome y Mozilla Firefox.

Siga las páginas de ejemplo de https://people.mozilla.org/~tvyas/mixedcontent.html; verá el impacto que el contenido mixto tiene en la experiencia de navegación del usuario. De este modo, podrá entender la importancia que tiene la configuración del navegador en el procesamiento de páginas.

Tenga en cuenta que los conceptos de bloqueo del contenido mixto son similares en todos los navegadores y que las principales diferencias entre los navegadores que admiten el bloqueo de contenido mixto son la administración del acceso y los niveles de información.

Visite la sección que se aplique a su navegador para obtener información detallada.