Los archivos HTML per se, no tienen información secreta. Cualquier persona con un servidor proxy que detecte su solicitud / respuesta puede verlo. (como Fiddler) Sin embargo, sus solicitudes y respuestas pueden tener información secreta como claves y detalles de autenticación. Las cookies de sesión también se comunican.
Si la autenticación de su servidor es débil (sin usar OAuth o algo así), su solicitud se puede configurar fácilmente para enrutar a un servidor falso. Esto se llama ataque “Hombre en el medio”.
- ¿Es posible mostrar una página con marco I desde un sitio HTTP en un blog que es HTTPS?
- Ahora que Angular 2 está en Beta, ¿debería considerar usarlo para una nueva aplicación web a pequeña escala en el trabajo o seguir con Angular 1?
- ¿La categorización de comentarios es una buena idea?
- ¿Cómo usamos una correa de arranque en HTML?
- ¿Cuál es el sitio web más sorprendente que has visto?
Si Alice eres tú y Bob es tu servidor, Mallory es el enmascarado.
Es posible que esta información no esté directamente visible en su pantalla; puede ser una solicitud / respuesta adicional oculta, puede ser una nueva cookie de autenticación o una cookie modificada para autorizar permanentemente al enmascarador a hacer lo que quiera. Esto se debe principalmente a una autenticación mutua débil o incluso a compartir públicamente claves privadas. Ver [1]
Aparte de esto, los archivos HTML generalmente son solo marcas HTML. Las imágenes, los estilos, las fuentes y los scripts suelen estar integrados como enlaces que crean solicitudes adicionales.
Esta imagen describe sucintamente cómo su navegador muestra la respuesta HTML recibida. Ver [2] detallado para la explicación.
Notas al pie
[1] Ataque de hombre en el medio
[2] Rendimiento: perfil de cómo diferentes sitios web usan subsistemas de navegador