Il posting da HTTP a HTTPS è una cattiva pratica?

61

Partendo dal presupposto che SSL serve sia per crittografare i dati che per garantire l'identità e la legittimità del sito web, nel caso in cui si fornisca un modulo di accesso su una pagina richiesta su HTTP essere evitato, anche quando viene pubblicato su HTTPS?

La domanda si riferisce a un post che ho scritto ieri sul Who's who di cattive pratiche di password e alcuni dei feedback che suggeriscono che non vedere visibilmente il certificato rappresentato nel browser prima dell'autenticazione andava bene se effettivamente il modulo pubblicato in modo sicuro.

A mio parere, questo vende SSL breve in quanto non solo perdi la capacità di convalidare la legittimità del sito prima di consegnare le tue credenziali, ma non hai la certezza che sia pubblicazione su HTTPS. Sono consapevole che Twitter e Facebook accettano questo approccio, ma dovrebbero? Sto trascurando qualcosa qui o è una pratica che dovrebbe essere scoraggiata?

Aggiornamento: ho finito per descrivere l'esito di questa domanda e la successiva discussione nel post del blog SSL non riguarda la crittografia

    
posta Troy Hunt 18.01.2011 - 01:36
fonte

4 risposte

56

Stati OWASP:

(copiato letteralmente dal link )

Secure Login Pages
There are several major considerations for securely designing a login page. The following text will address the considerations with regards to SSL.

Logins Must Post to an SSL Page This is pretty obvious. The username and password must be posted over an SSL connection. If you look at the action element of the form it should be https.

Login Landing Page Must Use SSL The actual page where the user fills out the form must be an HTTPS page. If its not, an attacker could modify the page as it is sent to the user and change the form submission location or insert JavaScript which steals the username/password as it is typed.

There must be no SSL Error or Warning Messages The presence of any SSL warning message is a failure. Some of these error messages are legitimate security concerns; others desensitize the users against real security concerns since they blindly click accept. The presence of any SSL error message is unacceptable - even domain name mismatch for the www.

HTTP connections should be dropped If a user attempts to connect to the HTTP version of the login page the connection should be denied. One strategy is to automatically redirect HTTP connections to HTTPS connections. While this does get the user to the secure page there is one lingering risk. An attacker performing a man in the middle attack could intercept the HTTP redirect response and send the user to an alternate page.

Per ripetere: Pagina di destinazione login deve utilizzare SSL

    
risposta data 18.01.2011 - 01:43
fonte
13

Potrebbe valere la pena aggiungere che esistono strumenti automatici per fare esattamente ciò che affermano le best practice OWASP: "un l'utente malintenzionato potrebbe modificare la pagina non appena viene inviata all'utente e modificare la posizione di invio del modulo ... "Il collegamento include una presentazione Black Hat sull'attacco.

    
risposta data 18.01.2011 - 04:51
fonte
9

Da aggiungere alle risposte già fornite. Ci sono stati casi pratici in cui avere pagine di destinazione non HTTPS consente agli aggressori di modificare il sito e acquisire le credenziali degli utenti. Questo esempio , è il più recente che abbia mai visto. In questo caso è stato fatto a livello di ISP, ma ugualmente potrebbe essere fatto da provider di hotspot wireless o chiunque usi gli strumenti pertinenti per effettuare un attacco Man-In-The-Middle.

    
risposta data 18.01.2011 - 11:39
fonte
-4

Tecnicamente è ancora sicuro - il tuo browser dovrebbe dirti se non gradisce il certificato dopo l'handshake SSL ma prima inviando dati HTTP, tuttavia come utente, sarei molto prudente un sito che mi chiede di fornire i dettagli di autenticazione prima che sia passato a HTTPS - senza un po 'di scavo e una certa conoscenza dell'argomento, non lo so fino a quando non avrò inviato l'informazione se il luogo che stavo inviando è sicuro (o dove mi aspettavo).

Anche se mi fido del sito, questo approccio può essere compromesso da un attacco MITM non dalla pagina HTTP.

    
risposta data 18.01.2011 - 12:05
fonte

Leggi altre domande sui tag