it-swarm.com.de

Warum werden Datei-URLs als nicht sicher markiert, während HTTPS-URLs in Browsern als sicher markiert werden?

Ich verstehe, dass moderne HTTPS-Protokolle für einen durchschnittlichen Benutzer sicher genug sind.

Da diese Protokolle jedoch Dateien vom Server abrufen müssen, während das Dateiprotokoll den Browser lediglich anweist, die Datei auf Ihrem Computer zu finden, sind Dateiprotokolle meiner Meinung nach sicherer als HTTPS-Protokolle.

Warum sind Browser, die HTTPS-Protokolle markieren, sicher, während Dateiprotokolle nicht sicher sind?

8
freezable

Das Abzeichen Connection is secure Bezieht sich auf die über das Netzwerk/Internet übertragenen Informationen. Wie Sie richtig bemerkt haben, verwendet das file:// - Protokoll keine Netzwerkverbindung und auch keinen Mechanismus zum Sichern derselben (da es keine gibt), daher fehlt das Abzeichen.

Beachten Sie, dass der Browser das Protokoll file:// Nicht als in sicher bezeichnet. Der Browser hat einfach keinen Grund, über das Vorhandensein von Sicherheitsmechanismen zu informieren, die TLS bereitstellt.

18
ig-dev

Ich denke, Dateiprotokolle sind sicherer als https-Protokolle.

Sie wären richtig, wenn die Datei aus dem lokalen Speicher stammt.

Was ist, wenn Sie eine Datei von einem FTP-Mount laden (das FTP-Protokoll hat keine Sicherheit, selbst Passwörter werden als einfacher Text gesendet)? Oder von einem entfernten (unsicheren) Dienst über unverschlüsseltes WLAN? Ein Consumer Access Point mit angeschlossenem Laufwerk könnte so eingerichtet werden.

Der Browser kann nicht feststellen, ob eine dieser Verbindungen tatsächlich sicher ist. Und selbst wenn festgestellt werden konnte, ob direkte Dateisystemverbindungen sicher waren, können wir nicht wissen, ob der nächste Schritt in der Kette ist.

Der Browser garantiert also einfach nicht, was er nicht weiß.

4
peter

Eigentlich ist file: // nicht so sicher, wie man denkt.

Angenommen, wir befinden uns in einer Anmeldesitzung mit einer Reihe von Hintergrundprozessen, die als Benutzer ausgeführt werden. Es gibt keine kugelsichere Garantie dafür, dass einige dieser Prozesse die Datei ändern, die ein Benutzer möglicherweise in seinem Browser öffnet.

Denken Sie daran, dass der WannaCry-Virensturm 2017 über eine schlechte SMB -Implementierung) ausgeführt wurde. Wer soll sagen, dass jemand im LAN die Remotecodeausführung nicht ausnutzt, um die Dateien anderer Personen zu ändern?

0
DannyNiu