1. Inicio
  2. Pregunta y respuesta
  3. ¿Cómo averiguo qué partes de una página web están encriptadas y cuáles no?

¿Cómo averiguo qué partes de una página web están encriptadas y cuáles no?

2008-11-20 3 views
11

Estoy trabajando en un servidor web que no configuré totalmente y estoy tratando de averiguar qué partes de una página web se envían cifradas y cuáles no. Firefox me dice que partes de la página están encriptadas, pero quiero saber qué, específicamente, está encriptado.¿Cómo averiguo qué partes de una página web están encriptadas y cuáles no?

Fuente

2008-11-20 Sam Hoice

+2

Ver: http://stackoverflow.com/a/13760256/483588 –

+0

posible duplicado de [Averiguar qué recursos no van a través de HTTPS] (http://stackoverflow.com/questions/3292697/find-out-what-resources-are-not-going-over-https) –

Respuesta

9

Para cada elemento cargado en la página, comprobar su esquema:

  • comienza con HTTPS: es codificadas.
  • comienza con HTTP: no está encriptado.

(se puede ver una lista relativamente completa en Firefox haciendo clic derecho en la página y seleccionando a continuación, la pestaña "Ver Información de la página" "medios"

EDIT:. FF única muestra imágenes y elementos multimedia También son archivos javascript & CSS que deben ser verificados. Y Firebug es una buena herramienta para encontrar lo que necesita.

Fuente

2008-11-20 14:59:06

+0

Esto parece obtener una lista de imágenes, pero ¿qué pasa con los elementos de texto? También en el mío se llama "Ver información de la página". –

+0

Los elementos de texto son parte de la página en sí. No se cargan por separado. –

1

Olfatee los paquetes - eso le dirá realmente rápido WireShark es un buen programa para tales una tarea.

Fuente

2008-11-20 15:01:00

+0

Tengo que obtener permiso de mi jefe antes de poder olfatear los paquetes. Y debería poder hacer esto desde un nivel superior. ¡Pero buena sugerencia! –

1

Can firebug d o esto?

Editar: Parece que firebug también lo hará usando el panel "Red", que también le ofrece otras estadísticas interesantes.

Fuente

2008-11-20 15:12:33

2

Algunos elementos pueden no incluir http o https, en este caso cualquiera que se haya utilizado para la página se utilizará para estos elementos, es decir, si la solicitud de la página está en SSL, estas imágenes vendrán encriptadas mientras que la solicitud de la página no bajo SSL, estos vendrán sin cifrar. Fiddler en Internet Explorer también puede ser útil para rastrear parte de esta información.

Fuente

2008-11-20 19:02:34

+0

¡Gran sugerencia! Fiddler funciona como un proxy y Firefox también se puede dirigir a través de él ... es solo un paso de configuración manual ... – Dscoduc

0

La mejor herramienta que he encontrado para detectar enlaces http en una conexión https es Fiddler. También es ideal para muchos otros esfuerzos de resolución de problemas.

Fuente

2009-02-19 08:53:50 Dscoduc

11

El problema no es siempre enlaces malos en su página.

Si enlaza a iresources en un sitio externo usando https: //, y luego el sitio externo hace su propio redireccionamiento HTTP a páginas que no son SSL, eso romperá el bloqueo de SSL en su página.

PERO, al ver la fuente o la información en la pestaña de medios, no verá ningún http: //, ya que su página está utilizando correctamente solo https: // enlaces.

Como se sugirió anteriormente, la pestaña Firebug Net mostrará este y cualquier otro problema. Siga estos pasos:

  1. Instale Firebug add-on en firefox si aún no lo tiene, y reinicie FF cuando se le solicite.
  2. Abre Firebug (F12 o el pequeño menú de insectos a la derecha de tu cuadro de búsqueda).
  3. En Firebug, seleccione la pestaña "Red". Haga clic en "Activar" (enlace de texto) para activarlo.
  4. Actualice su página problemática sin usar la memoria caché presionando Ctrl-Shift-R (o Command-shift-R en OSX). Verás que la pestaña "Net" en firefox se llena con una lista de cada solicitud HTTP realizada.
  5. Una vez que la página termina de cargarse, pase el mouse sobre la columna izquierda de cada solicitud HTTP que se muestra en la pestaña de red.Aparecerá una información sobre herramientas que le mostrará el enlace real utilizado. será fácil detectar cualquiera que sea http: // en lugar de https: //.
  6. Si alguno de sus enlaces generó una redirección HTTP, verá "301 Movido permanentemente" en la columna de estado HTTP, y otra solicitud HTTP estará justo debajo para la nueva ubicación. Si el problema se debió a una redirección externa, ahí es donde estará la evidencia: la solicitud de la nueva ubicación será HTTP.
  7. Si su problema se debe a redirecciones desde un sitio externo, verá los códigos de estado "301 Movidos permanentemente" para las solicitudes que los dirigen a su nueva ubicación.
  8. Exporte cualquiera de esas 301 reubicaciones con el signo más a la izquierda, y revise los encabezados de las respuestas para ver qué está sucediendo. el encabezado Ubicación: le indicará la nueva ubicación que el servidor externo solicita a los navegadores.
  9. Anote esta información en el redireccionamiento, luego envíe un mensaje de correo electrónico amable y cortés al sitio externo en cuestión y solicite que elimine los https: // -> http: // redirects para usted. Explique cómo se está rompiendo el SSL en su sitio, e idealmente incluya un enlace a la página que se rompe si es posible, para que puedan ver el error por sí mismos. (Esto estimulará una acción más rápida que si solo les contara sobre el error).

Aquí hay un ejemplo de salida de Firebug para el problema de la redirección externa. En mi caso, encontré una página que llamaba https: // data feeds obtenía los feeds reescritos por el servidor externo en http: //.

He cambiado el nombre de mi sitio a "mysite.example.com" y el sitio externo a "external.ejemplo.com", pero de lo contrario dejó intactos los heders. Los encabezados de solicitud se muestran en la parte inferior, debajo de los encabezados de respuesta. Tenga en cuenta que "estoy solicitando una https: // enlace desde mi sitio, pero conseguir redirigido a una http: // enlace, que es lo que se me parte el bloqueo de SSL:

Response Headers 
Server nginx/0.8.54 
Date Fri, 07 Oct 2011 17:35:16 GMT 
Content-Type text/html 
Content-Length 185 
Connection keep-alive 
Location http://external.example.com/embed/?key=t6Qu2&width=940&height=300&interval=week&baseAtZero=false 

Request Headers 
Host external.example.com 
User-Agent Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1 
Accept */* 
Accept-Language en-gb,en;q=0.5 
Accept-Encoding gzip, deflate 
Accept-Charset ISO-8859-1,utf-8;q=0.7,*;q=0.7 
Connection keep-alive 
Referer https://mysite.example.com/real-time-data 
Cookie JSESSIONID=B33FF1C1F1B732E7F05A547A9CB76ED3 
Pragma no-cache 
Cache-Control no-cache

Por lo tanto, lo importante a tener en cuenta es que en los Encabezados de respuesta (arriba), está viendo una Ubicación: que comienza con http: //, no https: //. Su navegador tendrá esto en cuenta cuando descubra si el bloqueo es válido o no, e informe contenido parcialmente encriptado (esta es una función importante de seguridad del navegador para alertar a los usuarios sobre posibles ataques de XSRF y/o phishing).

La solución en este caso no es algo que pueda solucionar en su sitio - usted decir ah ve a solicitar al sitio externo que detenga su redireccionamiento a http. A menudo, esto se hizo de su parte por conveniencia, sin darse cuenta de esta consecuencia, y un correo electrónico bien escrito y amable puede solucionarlo.

Fuente

2011-10-07 17:55:10

+0

Gran información sobre cómo solucionar problemas con Firebug. ¡Gracias! –

Cuestiones relacionadas

 Cuestiones relacionadas