Estoy trabajando en un servidor web que no configuré totalmente y estoy tratando de averiguar qué partes de una página web se envían cifradas y cuáles no. Firefox me dice que partes de la página están encriptadas, pero quiero saber qué, específicamente, está encriptado.¿Cómo averiguo qué partes de una página web están encriptadas y cuáles no?
Respuesta
Para cada elemento cargado en la página, comprobar su esquema:
- comienza con HTTPS: es codificadas.
- comienza con HTTP: no está encriptado.
(se puede ver una lista relativamente completa en Firefox haciendo clic derecho en la página y seleccionando a continuación, la pestaña "Ver Información de la página" "medios"
EDIT:. FF única muestra imágenes y elementos multimedia También son archivos javascript & CSS que deben ser verificados. Y Firebug es una buena herramienta para encontrar lo que necesita.
Esto parece obtener una lista de imágenes, pero ¿qué pasa con los elementos de texto? También en el mío se llama "Ver información de la página". –
Los elementos de texto son parte de la página en sí. No se cargan por separado. –
Olfatee los paquetes - eso le dirá realmente rápido WireShark es un buen programa para tales una tarea.
Tengo que obtener permiso de mi jefe antes de poder olfatear los paquetes. Y debería poder hacer esto desde un nivel superior. ¡Pero buena sugerencia! –
Can firebug d o esto?
Editar: Parece que firebug también lo hará usando el panel "Red", que también le ofrece otras estadísticas interesantes.
Algunos elementos pueden no incluir http o https, en este caso cualquiera que se haya utilizado para la página se utilizará para estos elementos, es decir, si la solicitud de la página está en SSL, estas imágenes vendrán encriptadas mientras que la solicitud de la página no bajo SSL, estos vendrán sin cifrar. Fiddler en Internet Explorer también puede ser útil para rastrear parte de esta información.
¡Gran sugerencia! Fiddler funciona como un proxy y Firefox también se puede dirigir a través de él ... es solo un paso de configuración manual ... – Dscoduc
La mejor herramienta que he encontrado para detectar enlaces http en una conexión https es Fiddler. También es ideal para muchos otros esfuerzos de resolución de problemas.
El problema no es siempre enlaces malos en su página.
Si enlaza a iresources en un sitio externo usando https: //, y luego el sitio externo hace su propio redireccionamiento HTTP a páginas que no son SSL, eso romperá el bloqueo de SSL en su página.
PERO, al ver la fuente o la información en la pestaña de medios, no verá ningún http: //, ya que su página está utilizando correctamente solo https: // enlaces.
Como se sugirió anteriormente, la pestaña Firebug Net mostrará este y cualquier otro problema. Siga estos pasos:
- Instale Firebug add-on en firefox si aún no lo tiene, y reinicie FF cuando se le solicite.
- Abre Firebug (F12 o el pequeño menú de insectos a la derecha de tu cuadro de búsqueda).
- En Firebug, seleccione la pestaña "Red". Haga clic en "Activar" (enlace de texto) para activarlo.
- Actualice su página problemática sin usar la memoria caché presionando Ctrl-Shift-R (o Command-shift-R en OSX). Verás que la pestaña "Net" en firefox se llena con una lista de cada solicitud HTTP realizada.
- Una vez que la página termina de cargarse, pase el mouse sobre la columna izquierda de cada solicitud HTTP que se muestra en la pestaña de red.Aparecerá una información sobre herramientas que le mostrará el enlace real utilizado. será fácil detectar cualquiera que sea http: // en lugar de https: //.
- Si alguno de sus enlaces generó una redirección HTTP, verá "301 Movido permanentemente" en la columna de estado HTTP, y otra solicitud HTTP estará justo debajo para la nueva ubicación. Si el problema se debió a una redirección externa, ahí es donde estará la evidencia: la solicitud de la nueva ubicación será HTTP.
- Si su problema se debe a redirecciones desde un sitio externo, verá los códigos de estado "301 Movidos permanentemente" para las solicitudes que los dirigen a su nueva ubicación.
- Exporte cualquiera de esas 301 reubicaciones con el signo más a la izquierda, y revise los encabezados de las respuestas para ver qué está sucediendo. el encabezado Ubicación: le indicará la nueva ubicación que el servidor externo solicita a los navegadores.
- Anote esta información en el redireccionamiento, luego envíe un mensaje de correo electrónico amable y cortés al sitio externo en cuestión y solicite que elimine los https: // -> http: // redirects para usted. Explique cómo se está rompiendo el SSL en su sitio, e idealmente incluya un enlace a la página que se rompe si es posible, para que puedan ver el error por sí mismos. (Esto estimulará una acción más rápida que si solo les contara sobre el error).
Aquí hay un ejemplo de salida de Firebug para el problema de la redirección externa. En mi caso, encontré una página que llamaba https: // data feeds obtenía los feeds reescritos por el servidor externo en http: //.
He cambiado el nombre de mi sitio a "mysite.example.com" y el sitio externo a "external.ejemplo.com", pero de lo contrario dejó intactos los heders. Los encabezados de solicitud se muestran en la parte inferior, debajo de los encabezados de respuesta. Tenga en cuenta que "estoy solicitando una https: // enlace desde mi sitio, pero conseguir redirigido a una http: // enlace, que es lo que se me parte el bloqueo de SSL:
Response Headers
Server nginx/0.8.54
Date Fri, 07 Oct 2011 17:35:16 GMT
Content-Type text/html
Content-Length 185
Connection keep-alive
Location http://external.example.com/embed/?key=t6Qu2&width=940&height=300&interval=week&baseAtZero=false
Request Headers
Host external.example.com
User-Agent Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1
Accept */*
Accept-Language en-gb,en;q=0.5
Accept-Encoding gzip, deflate
Accept-Charset ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection keep-alive
Referer https://mysite.example.com/real-time-data
Cookie JSESSIONID=B33FF1C1F1B732E7F05A547A9CB76ED3
Pragma no-cache
Cache-Control no-cache
Por lo tanto, lo importante a tener en cuenta es que en los Encabezados de respuesta (arriba), está viendo una Ubicación: que comienza con http: //, no https: //. Su navegador tendrá esto en cuenta cuando descubra si el bloqueo es válido o no, e informe contenido parcialmente encriptado (esta es una función importante de seguridad del navegador para alertar a los usuarios sobre posibles ataques de XSRF y/o phishing).
La solución en este caso no es algo que pueda solucionar en su sitio - usted decir ah ve a solicitar al sitio externo que detenga su redireccionamiento a http. A menudo, esto se hizo de su parte por conveniencia, sin darse cuenta de esta consecuencia, y un correo electrónico bien escrito y amable puede solucionarlo.
Gran información sobre cómo solucionar problemas con Firebug. ¡Gracias! –
Utilizo el complemento FF HTTPFox para esto.
- 1. ¿Cómo extraer ciertas partes de una página web en Python
- 2. ¿Cómo averiguo qué dlls cargará un ejecutable?
- 3. ¿Las claves privadas exportadas en GPG aún están encriptadas?
- 4. ¿Qué partes de .NET no están disponibles en Monotouch para el desarrollo de iPhone?
- 5. ¿Cómo determinar qué puntos están dentro de un polígono y cuáles no (gran cantidad de puntos)?
- 6. ¿Cómo averiguo qué bibliotecas de Python están instaladas en mi Mac?
- 7. Cómo saber qué fuentes están referenciadas y cuáles están incrustadas en un documento PDF
- 8. ¿Qué sucede cuando actualizamos una página web?
- 9. ¿Qué partes de UIKit, Core Graphics, Core Animation, OpenGL están permitidas en no main-thread?
- 10. qué funciones están incluidas en una JVM
- 11. ¿Cómo comparar cadenas encriptadas con semillas aleatorias?
- 12. Bibtex en una página web?
- 13. Web scraping - cómo identificar contenido principal en una página web
- 14. ¿Cómo encontrar qué elemento rompe HTTPS en una página web?
- 15. ¿Cuáles son las ventajas y desventajas de un sitio web que contiene una sola página?
- 16. Número máximo de partes web/zonas de elementos web por página? (Microsoft SharePoint 2007)
- 17. ¿Qué caracteres NO están presentes en Unicode?
- 18. ¿Cómo hacer que una página web móvil no se reduzca?
- 19. Cómo descifrar cadenas encriptadas SHA-256?
- 20. Reglas generales para separar partes de una aplicación web
- 21. detectar qué fuente se utilizó en una página web
- 22. Aplicar hojas de estilo css diferentes para diferentes partes de la misma página web
- 23. Partes específicas de la memoria caché PHP de una página
- 24. Java: ¿Cómo puedo ver qué partes de mi código están ejecutando más? (perfilado)
- 25. Lua: Obtener una página web
- 26. ¿Qué es un "identificador de varias partes" y por qué no puede vincularse?
- 27. Grabación de video con cámara web en una página web
- 28. ¿Cómo rellena programáticamente un formulario y 'POST' una página web?
- 29. Cómo desvanecerse en una página web completa -
- 30. ¿Cómo averiguo qué versión de Doctrine estoy ejecutando?
Ver: http://stackoverflow.com/a/13760256/483588 –
posible duplicado de [Averiguar qué recursos no van a través de HTTPS] (http://stackoverflow.com/questions/3292697/find-out-what-resources-are-not-going-over-https) –