Perché alcuni siti Web sono apparentemente immuni dagli attacchi MitM certificati autofirmati?

37

Recentemente ho fatto un esperimento usando MitM per ottenere informazioni sull'account (nome utente e password) durante l'accesso ai siti web. Ho usato due PC nello scenario; uno come target, eseguendo Internet Explorer e uno come l'attaccante, eseguendo ettercap. Un tentativo (fingendo di essere steamcommunity.com) ha fornito informazioni; l'obiettivo ha accettato il certificato autofirmato CA dell'aggressore che è stato presentato tramite l'attacco MitM. L'altro tentativo (fingendo di essere facebook.com) non mi ha nemmeno permesso di aggiungere un'eccezione per il certificato autofirmato sul computer di destinazione. Quindi la domanda è: perché un sito web mi ha permesso di aggiungere un'eccezione mentre l'altra no?

    
posta Pierrot 11.03.2017 - 11:40
fonte

1 risposta

47

Facebook utilizza HSTS (con preload [*]) mentre steamcommunity.com non lo fa.

Sicurezza del trasporto rigoroso HTTP è un'intestazione HTTP che ha due effetti:

  1. Forza tutte le connessioni al sito tramite HTTPS (anche se è stato accidentalmente collegato / inserito / inserito come HTTP)
  2. Interrompe se esiste qualche errore o avviso HTTPS. Ciò include avvisi di certificati autofirmati, il che significa che è impossibile accettare questi certificati.

[*] precaricamento significa che il browser è a conoscenza dell'HSTS anche prima della prima visita. Senza precarico, è possibile eseguire un attacco uomo in mezzo alla prima richiesta al sito, anche se esiste HSTS.

    
risposta data 11.03.2017 - 11:58
fonte