HTTPS ma NON crittografato?

33

Sto accedendo a Bing ( link ) dall'interno della Cina. Ho ricevuto le seguenti informazioni:

Comeèpotutoaccadere?HTTPSmanoncrittografatoeconcertificatoSSL?

Ecco l'acquisizione dei pacchetti utilizzando wireshark . L'IP di Bing è 202.89.233.101.

Una nuova cattura.

    
posta Ryan 24.10.2017 - 07:21
fonte

4 risposte

11

Non è solo in Edge, ma anche in IE e Chrome. Il motivo è ora chiaro: MS fa serve i contenuti su connessioni non sicure, almeno in Cina. Poiché gli avvisi di Mixed content in basso a destra nella schermata qui sotto indicano che la pagina richiede immagini su HTTP, rendendola non sicura:

    
risposta data 24.10.2017 - 11:56
fonte
23

Modifica per la risoluzione: la mia teoria non regge; gli altri punti sono ancora validi.

Conserverò la mia risposta originale, speculativa, ma TL; DR: se le risorse vengono caricate tramite http, tale avviso è garantito.

Mentre i commenti vanno, questo sembra essere un avvertimento sulle risorse non-https usate sul sito web. Ciò potrebbe attivare avvisi di questo tipo e per una buona ragione:

Se gli script sono caricati in questo modo, un uomo nel mezzo può iniettare script che compromettono ogni interazione con tale sito Web (e anche di più, nel caso in cui un exploit sia disponibile per l'utente malintenzionato per il browser). Inoltre, anche altre risorse potrebbero portare all'esecuzione di codice che non era destinato a essere eseguito in quel contesto.

Ora la mia risposta originale: Questo potrebbe essere un attacco di downgrade consentito da Microsoft.

Primo: TLS ha due scopi diversi:

  1. per autenticare il server (e facoltativamente il client) tramite un'infrastruttura a chiave pubblica.
  2. per valutare quali funzionalità di crittografia server e client condividono e sceglierne una su una connessione non sicura.

Mentre il server è stato autenticato, sembra che il server e tu abbia stabilito una "crittografia" di testo semplice.

In secondo luogo: questo potrebbe essere utile se il client (o il server) ha capacità computazionali molto limitate. Come mezzo per consentire l'accesso (disponibilità) alla segretezza, questo può essere utile.

In terzo luogo, la mia speculazione: In questo caso, è possibile che bing sia utilizzato solo in Cina finché il grande firewall può guardare all'interno del traffico. Pertanto, Microsoft potrebbe aver scelto la disponibilità per il segreto, facendo uso dell'opzione di testo in chiaro per consentire l'ispezione approfondita dei pacchetti da parte del GFC.

    
risposta data 24.10.2017 - 09:06
fonte
6

How could this happen? HTTPS but not encrypted, and with SSL certificate?

Ci sono tre modi in cui posso pensare che ciò possa accadere.

  1. Il server è configurato appositamente con un protocollo null , che è tecnicamente consentito in HTTPS , anche se altamente sconsigliato .

  2. Il server è configurato con un protocollo di crittografia appropriato, ma presenta un punto debole che consente a un hacker di avviare un downgrade attack . Tale debolezza è stata trovata un anno o due fa in OpenSSL (vedi questo articolo ) che è molto popolare base di codice su cui sono basati molti server web. Ci sono anche altri attacchi .

  3. Sei in un ambiente di rete (che potrebbe essere tutta la Cina) dove vengono intercettate le connessioni a Bing e ti viene offerto contenuto con un certificato che non è il certificato originale. Questo tipo di configurazione è comune negli ambienti aziendali (vedere questa domanda per i dettagli). Richiederebbe che il tuo laptop contenga un certificato di root controllato dalla parte che sta eseguendo l'intercettazione, ad es. una CA cinese, che potrebbe quindi emettere un certificato che sembra esattamente di proprietà di Bing.

risposta data 25.10.2017 - 00:28
fonte
1

HTTPS "sicuro" indica una connessione crittografata tra il browser e il server web. Questo è tutto. Questo garantisce che i dati che viaggiano tra il tuo browser e il server web siano sicuri. Non copre tutto lo spettro della sicurezza.

Il sito sta praticamente caricando contenuti misti, alcuni contenuti come immagini e CSS saranno caricati su un canale non sicuro mentre il contenuto del sito principale è servito protetto tramite HTTPS. Ad esempio, se uno qualsiasi dei contenuti utilizza "form action=" http "anziché" form action="https", ciò contribuisce alla possibilità che il sito venga compromesso. Nel tuo caso specifico, c'è anche Adobe Flash. Finché hai contenuto flash, quindi praticamente la sicurezza è morta comunque. Adobe Flash viene eseguito all'interno dello stesso processo e la memoria del browser Web e frequenti bug in esso forniscono agli hacker molte semplici opportunità per accedere alla memoria. Quindi possono passare a uno specifico indirizzo di memoria e fare qualcosa da lì.

Per quanto riguarda il protocollo SSL, quando si richiede una connessione HTTPS a un sito Web, il sito Web invierà inizialmente il proprio certificato SSL al browser. Questo certificato contiene la chiave pubblica necessaria per avviare la sessione sicura. Sulla base di questo scambio iniziale, il tuo browser e il sito web iniziano l''handshake SSL'. L'handshake SSL prevede la generazione di segreti condivisi per stabilire una connessione univoca e sicura tra te e il sito web. Molte cose possono andare storte qui e la connessione sicura non sta più accadendo. Molte volte, può essere dovuto a un browser compromesso, ma può essere anche a causa di problemi nel sito.

    
risposta data 24.10.2017 - 07:48
fonte

Leggi altre domande sui tag