So che è possibile che un computer sia infetto solo visitando un sito web. So anche che i siti web HTTPS sono sicuri.
Per quanto ne so, "sicuro" qui si riferisce a "immune agli attacchi MITM", ma dal momento che tali siti Web hanno certificati e tali, è giusto presumere che siano "puliti" e non dannosi?
No, HTTPS non significa necessariamente che un sito non è dannoso. HTTPS significa molto poco per la sicurezza di un sito. È specificamente progettato per mantenere la tua comunicazione con il sito protetto da intercettazioni e manomissioni, ma non offre nulla per quanto riguarda la sicurezza del sito stesso.
Sì, un sito che serve contenuti su HTTPS ha un certificato. Ciò significa che l'individuo che ha richiesto il certificato dalla CA ha un indirizzo email associato al dominio. Tranne nel caso dei certificati di convalida estesa (quelli che offrono una barra degli indirizzi verde) questo è letteralmente tutto ciò che significa. Nessuno della CA sta verificando che il sito sia sicuro, protetto e non serva malware. Qualsiasi sito, con un certificato SSL o senza, può presentare bug e vulnerabilità che consentono a un utente malintenzionato di sfruttarlo per offrire un exploit. O un amministratore o utente che ha la capacità di causare il malware in modo malevolo o inconsapevole. Anche se il sito stesso non lo fa, se serve pubblicità (o qualsiasi altro contenuto, per quella materia) da una rete pubblicitaria o da un altro sito, che potrebbe essere vulnerabile.
Quindi, HTTPS significa che nessuno dovrebbe essere in grado di visualizzare o manomettere il tuo traffico. Questo è tutto ciò che significa.
Assolutamente nessuna garanzia. HTTPS significa che la pagina web ha SSL, il che significa semplicemente che la tua connessione alla pagina è crittografata. Il contenuto della pagina potrebbe essere qualsiasi cosa che possa essere pubblicata su qualsiasi sito Web, indipendentemente dal fatto che sia crittografata o meno da SSL.
In breve: Sì, può essere davvero dannoso!
L'accesso a un sito tramite HTTPS significa che la connessione tra il tuo computer e il server del sito web è crittografata e sicura.
Che cosa HTTPS fa
Cosa non fa HTTPS
Pertanto è ancora possibile per gli autori del sito web (o qualcuno che ha ottenuto l'accesso non autorizzato al sito Web) per fare in modo che il sito Web offra contenuti dannosi al browser.
Il secure di https non è correlato al contenuto di un sito web / servizio.
Si chiama 'sicuro' perché teoricamente i protocolli di sicurezza (ssl / tsl e alcuni altri) non consentono di comprendere facilmente le informazioni scambiate (crittografa il flusso di dati), quindi, anche se qualcuno catturasse i tuoi pacchetti , dovrebbero decrittografarlo per capire il messaggio.
Ora questo è utile perché alcune informazioni come password, numero di previdenza sociale, numero di carta di credito e così via possono causare molti problemi se vengono scoperti da qualcuno intenzionato a causare danni.
In questo senso, https ci aiuta rendendo difficile a una terza parte sapere quali informazioni abbiamo scambiato con un sito web (ed è per questo che la maggior parte delle banche utilizza almeno https sui loro servizi), ma ciò non ferma un sito web o servizio per essere infettato da software dannoso o da un utente malintenzionato che ti raggiunge indirettamente infettando un server.
Ora, ho dedotto dalla tua domanda che quando hai usato il termine "sicuro" l'hai inteso in modo diverso (nel senso di sicurezza contro i contenuti dannosi), in questo senso, https non ti protegge affatto perché non presta attenzione al contenuto (ciò che viene trasmesso attraverso la connessione) stesso .
Sì, può essere facilmente: i virus o i virus malevoli possono essere trasferiti su HTTPS con la stessa facilità con cui su HTTP non c'è problema. Potrebbe essere un po 'meno probabile in quanto è nota l'origine del messaggio HTTPS verificato valido.
Tuttavia può ancora succedere se il sito HTTPS ha avuto falle nella sicurezza, è stato attaccato, vi è stato installato del contenuto dannoso e compromesso. Non sarà per molto, presto l'amministratore conoscerà l'uno o l'altro modo e rimuoverà il malware. Tuttavia preferirei evitare di fidarsi del contenuto solo perché è stato distribuito su HTTPS.
Aggiungi all'elenco che la CA stessa avrebbe potuto essere compromessa (ad es. DigiNotar) e utilizzata per emettere certificati falsi, o il tuo browser potrebbe essere costretto a utilizzare CA falsificate in modo specifico in modo che la tua connessione possa essere intercettata e manomessa a volte usato su reti aziendali.
Oh, anche il certificato potrebbe essere stato falso perché stava usando MD5. Come già detto, l'icona del lucchetto nel tuo browser indica qualcos'altro che non pensi:).
Oltre agli altri punti sollevati, vale la pena ricordare che persino un sito attendibile (ad esempio, la tua banca) potrebbe essere infettato da un virus che lo fa comportare maliziosamente. Quindi, anche se ti fidi dell'organizzazione, https continua a non garantire che il sito web non faccia cose dannose.
Tutta una connessione HTTPS autenticata fa sì che se https://www.example.com viene mostrato nella barra degli indirizzi, tu sia di fatto connesso a www.example.com .
Il certificato non certifica che www.example.com non è dannoso in alcun modo. Un Certificato di convalida esteso con un evidenziatore verde mostrato attorno alla barra degli indirizzi ti consentirà di conoscere l'organizzazione reale dietro il sito, quindi se ti fidi di loro puoi fidarti del sito web. Esistono anche certificati di verifica dell'organizzazione, tuttavia è difficile per gli utenti abituali distinguerli dai certificati di dominio verificati.
I certificati DV sono molto facili da ottenere - quindi, a meno che tu non conosca e ti fidi del dominio del sito già, non dovresti permetterti alcun ulteriore affidamento nel sito solo perché usa https.
Un l'attacco Pharming può essere usato per reindirizzare il tuo traffico verso un server malevolo. Questo server si connetterà a quello legittimo e si autenticherà su di esso come se fossi tu. Quindi ti presenterà le informazioni o la pagina web dal server legit. Per te - apparirà come se fossi connesso in modo sicuro al server legit, ma ora c'è un MITM che ha accesso al canale e può leggere tutto su di esso. Questo tipo di attacco è difficile da eseguire ma può rendere inutile l'HTTPS ...
Quindi la dose del sito non deve essere maliziosa, può essere la tua banca. Tuttavia, utilizzando questo approccio, qualcuno può ottenere tutti i dati dell'account, le credenziali e così via, anche se il sito è HTTPS.
Anche una cosa da considerare con molta attenzione, è che alcuni antivirus funzionano analizzando il traffico. Se il sito utilizza HTTPS, un virus può infatti passare inosservato oltre il radar.
Questo è particolarmente importante se si dispone di un servizio antivirus fornito dal proprio ISP, dal proprio datore di lavoro o dalla propria scuola, basato su un "Proxy". Questo è il motivo per cui alcuni proxy fingono di essere MITM come BlueCoat Proxy, quindi decomprimono il traffico crittografato, lo leggono e poi lo inviano insieme a un certificato falsificato (che tutti i computer dietro questo Proxy sono configurati per accettare, tramite un oggetto Criteri di gruppo o da un dispositivo NAC).
Quindi, HTTPS è un'arma a doppio taglio. Può essere usato dai bravi ragazzi per nascondere buoni dati (numeri di carte di credito, password ecc.) Dai cattivi (ad esempio truffatori, hacker). Ma può anche essere usato dai cattivi per nascondere i cattivi dati (ad esempio virus, file illegali, ecc.) Dai bravi ragazzi (scanner antivirus, forze dell'ordine ecc.)
Pertanto, nel "linguaggio di protezione da virus", devi EVITARE utilizzare HTTPS.
Leggi altre domande sui tag http tls certificates social-engineering