Firebug sembra decifrare il traffico SSL: è il comportamento corretto?

Naviga le tue risposte
28

Nella mia azienda stavamo scrivendo una piccola applicazione web che sarebbe stata ospitata e testata con il protocollo HSTS.

Uno dei miei tester si è lamentato che il nome utente e la password possono essere visualizzati in chiaro, quindi non è sicuro. Ho risposto che a causa dell'implementazione di HSTS non può essere decodificato. Ho fatto notare wireshark logs e ho provato che è crittografato.

Il mio tester ha indicato Firebug del proprio browser e ha detto che sta visualizzando il nome utente e la password in chiaro in modo che non sia sicuro.

Da quanto sopra, ecco le mie analisi e domande:

  1. Poiché HSTS abilita la sicurezza quando i dati passano dal browser al web sever, Firebug è solo un plug-in del browser, conosce tutto nella struttura DOM in modo che possa visualizzare campi, nomi utente e password.

  2. È possibile disabilitare Firebug dall'identificazione di dom tree?

  3. Rivelare il contenuto da Firebug è davvero una vulnerabilità? Se sì, come posso mitigarlo?

posta BlueBerry - Vignesh4303 02.11.2015 - 11:03
fonte

3 risposte

54

Sembra che ci sia un po 'di confusione sulle protezioni fornite da diverse parti del tuo sistema.

HSTS applica HTTPS per gli utenti che hanno precedentemente visitato il sito su HTTPS per un determinato periodo. Se un utente non ha mai visitato la versione HTTPS di un sito e il sito è anche disponibile su HTTP (senza un reindirizzamento a HTTPS), non farà nulla: il traffico non sarà crittografato.

Firebug accede ai dati dopo la decodifica - è uno strumento di debug. Se il browser può vederlo in chiaro, Firebug può vederlo in chiaro. Questa non è una vulnerabilità, a meno che il sito non stia inviando dati che non devono essere inviati (ad esempio password dal server), nel qual caso la vulnerabilità si trova nel sito Web, non in Firebug.

Se si inviano password dal server al client, si ha un problema - questo non dovrebbe mai essere richiesto. Le password dovrebbero essere considerate come una cosa a senso unico: gli utenti le digitano e vengono controllate sul lato server. Questo riduce al minimo la possibilità che qualsiasi password venga scoperta senza una maggiore compromissione del server.

    
risposta data 02.11.2015 - 11:31
fonte
22

No Firebug non decrittografa il traffico SSL.

Firebug ricorda solo un dettaglio chiave: una connessione SSL fornisce una protezione contro le intercettazioni sul percorso di connessione . SSL dovrebbe essere visto come un tunnel criptato (VPN è un altro), ma su entrambe le estremità del tunnel, tutto è in piena luce: in chiaro .

Firebug non è una vulnerabilità del tutto.

    
risposta data 02.11.2015 - 11:26
fonte
6
  1. Firebug può accedere a tutto ciò a cui il browser può accedere, in modo che possa accedere a nome utente e password, proprio come il gestore di password incorporato o i gestori di password come Lastpass.
  2. Nessun. Non è possibile disabilitare Firebug dall'uso dell'albero DOM, tranne quando disabiliti Firebug. Come dice OrangeDog, il blocco dei componenti aggiuntivi non sarà di aiuto in quanto Firefox ha un debugger integrato che può fare lo stesso.
  3. Nessun. Rivelare il contenuto di Firebug non è una vulnerabilità.
risposta data 02.11.2015 - 11:09
fonte

Leggi altre domande sui tag

È $ _SERVER [] una fonte sicura di dati in PHP? Come si chiama questo metodo / metodo di autenticazione?