Google Chrome y Mozilla Firefox han implementado procesos de bloqueo del contenido mixto para proteger los equipos de ataques de seguridad lanzados por contenido no seguro al que se hace referencia en páginas seguras.

¿Qué es el contenido mixto y por qué es importante?

Los sitios web en los que se solicita información confidencial, como nombres de usuario y contraseñas, normalmente utilizan conexiones seguras (HTTPS) para intercambiar contenido con el equipo. Si visita un sitio a través de una conexión segura, tanto Google Chrome como Firefox verifican que el contenido de la página web se haya transmitido de forma segura. Si alguno de los dos navegadores detecta que en la página hay ciertos tipos de contenido procedentes de canales no seguros (HTTP), evitará automáticamente que dicho contenido se cargue. Verá que aparece el icono de un escudo en la barra de direcciones.

Al bloquear el contenido y los posibles agujeros de seguridad, Chrome y Firefox evitan que la información que ha introducido en la página caiga en manos equivocadas.

Tipos de contenido mixto

Hay dos tipos de contenido que pueden afectar la experiencia del usuario cuando este visualiza una página web. En el contexto del contenido mixto, cada uno de estos tipos tiene varios niveles de riesgo:

  • Contenido mixto pasivo o contenido de visualización
  • Contenido mixto activo o contenido de secuencias de comandos

Contenido mixto pasivo o contenido de visualización

El contenido mixto pasivo es contenido HTTP de un sitio web HTTPS que no puede modificar el modelo DOM (Document Object Model) de la página web. Dicho de otra manera, el contenido HTTP pasivo tiene un efecto limitado en el sitio web HTTPS. Por ejemplo, un atacante puede sustituir una imagen servida a través de HTTP por una imagen inapropiada o un mensaje que confunda al usuario. Sin embargo, no podrá afectar al resto de la página web, solo a la sección de la página en la que se carga la imagen.

Un atacante puede deducir información sobre la actividad de navegación del usuario observando las imágenes que se le sirven, que le permiten deducir las páginas que ha visto. Además, si observa los encabezados HTTP enviados para recuperar y presentar la imagen, el atacante puede ver la cadena de agente del usuario y las cookies asociadas con el dominio al que se solicita la imagen. Si el contenido lo sirve el mismo dominio que la página web principal, la información de la sesión queda potencialmente expuesta evitando la protección que HTTPS proporciona a la cuenta de usuario.

Algunos ejemplos de contenido pasivo son las imágenes, los archivos de audio y las cargas de video.

Contenido mixto activo o contenido de secuencias de comandos

El contenido activo es contenido que tiene acceso a todo el DOM de una página HTTPS o a partes de él y, por lo tanto, puede afectarlo. Este tipo de contenido mixto puede alterar el comportamiento de una página HTTPS y robar datos confidenciales del usuario. Además de los riesgos ya descritos anteriormente relativos al contenido mixto pasivo, el contenido mixto activo también está expuesto a una serie de vectores de ataque potenciales.

Ejemplo: Un atacante de tipo "Man In The Middle" (MITM) puede interceptar solicitudes de contenido activo HTTP. A continuación, puede volver a escribir la respuesta para incluir código JavaScript malintencionado. Las secuencias de comandos malintencionadas pueden robar las credenciales o los datos confidenciales del usuario o bien intentar instalar malware en su sistema (por ejemplo, aprovechando complementos vulnerables que el usuario haya instalado).

Algunos ejemplos de contenido activo son JavaScript, CSS, los objetos, las solicitudes xhr, los iframes y las fuentes.

Eliminar la necesidad de controles de navegador de usuario

Para mejorar la experiencia del usuario y eliminar la necesidad de que los usuarios ajusten la configuración del navegador, todo el contenido debe proporcionarse a través de HTTPS.

Administración de navegadores de contenido mixto

Después de ver los ejemplos en el sitio web de Mozilla, verá el impacto que el contenido mixto tiene en la experiencia de navegación del usuario. De este modo, podrá entender la importancia que tiene la configuración del navegador en el procesamiento de las páginas.

Tenga en cuenta que los conceptos de bloqueo del contenido mixto son similares en todos los navegadores y que las principales diferencias entre los navegadores que admiten el bloqueo de contenido mixto son la administración del acceso y los niveles de información.

Las páginas web seguras servidas a través de HTTPS pueden incluir elementos no seguros que pueden volver vulnerable ante ataques a su información. Cuando una página contiene elementos seguros y no seguros, se denomina contenido mixto.

Para protegerlo de los riesgos relacionados con el contenido mixto, Mozilla Firefox bloquea el contenido no seguro para evitar que aparezca en páginas seguras. Si se siente cómodo al navegar por una página que contiene elementos no seguros, puede elegir ver este contenido en algunos pasos. En este artículo se describe cómo administrar los controles de navegador para acceder al contenido mixto en el caso de las versiones v23 y posteriores de Mozilla Firefox.

Administración de configuración de contenido bloqueado

Cuando visite una página que tenga contenido mixto en Firefox, aparecerá un escudo en la barra de ubicación. Esto indica que parte del contenido ha sido bloqueado. Seleccione el ícono para desactivar de manera temporal esta función de seguridad y ver el contenido no seguro.

Seleccione Desactivar protección por ahora si desea ver este contenido. La página volverá a cargarse y aparecerán dos íconos en la barra de ubicación, un escudo con una línea roja que lo atraviesa y un triángulo amarillo con un signo de exclamación. Estos íconos están ahí para recordarle que es posible que parte del contenido de la página ponga en riesgo su información.

Firefox: bloqueo de contenido mixto

Mozilla Firefox utiliza el bloqueo de contenido mixto para proteger su información, pero también le permite elegir si desea ver o no el contenido mixto activo. Este tipo de contenido puede modificar el comportamiento de una página completa y podría llegar a robar datos confidenciales del usuario. El contenido mixto pasivo, sin embargo, no posee la capacidad de modificar el comportamiento de la página por completo, sino solo la parte de contenido HTPP (no seguro) en sí.

El contenido mixto pasivo normalmente se encuentra en línea e incluye elementos de páginas web, como imágenes, audio y video. Firefox no bloquea esta clase de contenido de manera automática porque rompería muchas páginas web y reduciría la experiencia del usuario. Sin embargo, hay una forma de bloquear el contenido mixto pasivo: editar la configuración de su navegador.

Más información

En los siguientes artículos en el sitio web de Mozilla, podrá encontrar más información acerca del contenido mixto: