Qual è l'impeto per i siti principali che sono ora HTTPS esclusivi?

31

Ho notato che esiste un buon numero di siti (Google, Twitter, Wikipedia ) che pubblicano ogni pagina su HTTPS .

Posso capire dato che ora tutti sono preoccupati per la privacy, ma c'è stata qualche sorta di best practice / impeto per questo cambiamento?

Forse è una di quelle cose che è solo più facile da usare, perché ottieni certe garanzie immediatamente?

Mi è stato spiegato che potrebbe essere a causa di problemi di privacy che sono stati enfatizzati quando il plug-in Firesheep per Firefox è stato rilasciato su Toorcon 12 , ma è stato due anni fa e mi sembra di ricordare i siti più importanti che fanno il passaggio all'esclusiva HTTPS più recentemente.

    
posta casperOne 25.09.2012 - 14:22
fonte

4 risposte

23

HTTPS è la soluzione più semplice a un gran numero di problemi di sicurezza:

  • Ogni forma di attacco Man In The Middle è completamente impraticabile su una connessione HTTPS (è necessario interrompere SSL o hackerare un'autorità di certificazione). Ciò include la protezione dei tuoi utenti mentre sono su wifi pubblico.
  • Se una pagina non è protetta e un utente fa clic su un link di "accesso" (presumibilmente HTTPS), un utente malintenzionato potrebbe sostituirlo con un collegamento a una versione non sicura che ruba le password. L'unico modo sicuro per farlo è quello di servire l'intero sito su HTTPS o assicurarsi che gli utenti prestino attenzione alla barra degli indirizzi. È possibile solo una di queste due opzioni.
  • Poiché tutte le tue pagine sono sicure, non devi pensare a quali pagine sono sicure e quali no (login utente - > reindirizzamento alla versione HTTPS - > utente effettua il login - > reindirizzamento torna su HTTP - > l'utente va al loro profilo - > reindirizza a HTTPS ...).
  • I browser moderni forniscono avvisi sui contenuti misti se una pagina HTTPS contiene contenuti non protetti (stili, script , immagini, ecc.). La maggior parte dei browser tratta questo tipo di pagina come se non fosse affatto sicura (mostrando la spaventosa casella dell'URL rosso). Il modo più semplice per assicurarti di non avere mai riscontrato questo problema è quello di pubblicare tutti i tuoi contenuti su HTTPS.
  • Se sei solo HTTPS, puoi abilitare la Sicurezza del trasporto rigoroso HTTP per ridurre ulteriormente la vulnerabilità agli attacchi MITM ( una volta che un utente è stato sul tuo sito una volta, il suo browser sceglierà sempre la versione HTTPS, anche se indirizzato a un http:// URL).

Onestamente, non so perché nessuno non abiliti HTTPS. È completamente banale e può essere gratuito .

    
risposta data 25.09.2012 - 19:18
fonte
12

Gli "attacchi" sono cattivi. Con un sito HTTP, un malintenzionato malintenzionato potrebbe alterare i dati in transito, facendo apparire il suo nome o logo al posto della pagina desiderata. Ciò non è in alcun modo critico per un sito che ospita solo informazioni pubbliche (ad es. Wikipedia), ma nonostante ciò sembra male. Con HTTPS, esiste un certo livello di "protezione visibile": l'autore dell'attacco non sarà in grado di inserire la sua firma nel sito originale; invece, dovrà montare una versione alternativa con un certificato falso, a quel punto il browser mostrerà un avviso. Si tratta di rendere tali attacchi "ovvi" agli occhi del pubblico in generale.

Un altro motivo, meno razionale ma probabilmente più comune, è la seguente "logica", come va nelle menti di molti manager: " La sicurezza è BUONA, protegge da BAD PEOPLE, EVILDOERS e TERRORISTI. quindi andiamo a cospargere HTTPS ovunque possiamo. "Ciò è imperfetto in vari modi, ma ciò non impedisce alle persone di pensare in questo modo.

E c'è la moda, ovviamente. Se Google va su HTTPS-ovunque, allora sarebbe commercialmente suicida, e probabilmente cattivo gusto , non fare lo stesso.

    
risposta data 25.09.2012 - 14:35
fonte
5

Oltre alla privacy, vale la pena notare che attualmente SPDY richiede HTTPS per negoziare il supporto.

Sebbene ci siano molti altri modi in cui questo potrebbe essere stato implementato mantenendo la compatibilità con le versioni precedenti con HTTP / 1.1, posso solo supporre che stia causando problemi a molti proxy. Sembra che HTTP / 2.0 possa andare allo stesso modo.

HTTPS indebolisce il modello di caching distribuito di HTTP che ha un enorme impatto sulle prestazioni, quindi per la maggior parte di noi, ciò significa affidarsi a CDN di terze parti, il che piuttosto sconfigge lo scopo di avere una comunicazione point-to-point sicura in il primo posto.

(l'unica volta in cui ho avuto una radice di root era tramite una vulnerabilità in openSSL circa 10 anni fa - quindi forse ho una prospettiva piuttosto distorta su SSL;)

Non fraintendermi - non penso che ci sia una soluzione di sicurezza a livello di protocollo più grande di SSL / TLS, ma non è abbastanza da sola; ci sono ancora molte lacune da puntare (cookie, XSS, DNS)

    
risposta data 25.09.2012 - 15:30
fonte
2

Sono d'accordo con tutto quanto sopra, ma dovrei aggiungere che il passaggio a https era praticamente tutto tranne Google una risposta al Firesheep Plugin per Firefox. Questo ti ha permesso di dirottare facilmente una sessione di utenti che si trovavano sulla stessa rete, scrivere email da loro, pubblicare su Facebook e Twitter ecc. Ora con https abilitato non è possibile farlo.

Cito Google perché il loro accesso a Gmail non era vulnerabile a questo. Sono passati a https per "proteggere la privacy degli utenti". Personalmente non ne sono sicuro al 100%.

    
risposta data 26.09.2012 - 23:51
fonte

Leggi altre domande sui tag