Mi chiedo, qualcuno ha qualche suggerimento da difendere contro SSLstrip in particolare?
Ecco i miei consigli su ciò che gli utenti possono difendersi contro SSLstrip, Firesheep e attacchi simili:
Installa HTTPS Everywhere o ForceTLS. (HTTPS Everywhere è più facile da usare.) Questo indica al tuo browser di utilizzare le versioni SSL dei siti web, ove possibile.
Se il browser ti avvisa di un certificato, non ignorare l'avviso e non continuare a navigare in quel sito Web.
Per i siti critici, come il banking online, vai alla versione HTTPS (SSL) del sito dal tuo computer mentre utilizzi una rete protetta, quindi aggiungi la pagina ai segnalibri. Quindi, apri sempre il sito aprendo il segnalibro quando vuoi andare su quella pagina. Non digitare mai il suo indirizzo nella barra degli indirizzi o nella barra di ricerca.
Se navighi in un singolo sito, considera la possibilità di configurare un browser specifico del sito. Questo probabilmente non è necessario per la maggior parte degli scopi, ma fornirà ulteriore sicurezza contro alcuni attacchi; potrebbe essere appropriato, ad esempio, per le aziende che utilizzano servizi bancari online.
In alternativa, invece di HTTPS ovunque, puoi eseguire la navigazione sul Web tramite un servizio VPN.
Configura il tuo client di posta elettronica per utilizzare SSL (noto anche come TLS) e per verificare la validità dei certificati. Ciò assicurerà che la connessione al server di posta elettronica sia crittografata.
Ecco i miei consigli su ciò che i siti Web possono fare per proteggere i loro utenti da Firesheep, SSLstrip e attacchi simili:
Abilita SSL in tutto il sito (ad es., HTTPS).
Abilita HSTS (HTTP Transport Transport Security).
Assicurati che il tuo certificato sia valido. Prendi in considerazione l'acquisto di un certificato Extended Validation (EV), per ulteriori siti critici per la sicurezza.
Abilita i cookie sicuri, ovvero assicurati che tutti i cookie siano serviti con l'attributo di sicurezza, in modo che i browser dell'utente inviino tali cookie solo su connessioni protette da SSL e non li rivelino mai su qualsiasi non SSL (HTTP ) link.
Disabilita l'accesso HTTP (non SSL) o reindirizza gli utenti alla versione SSL del sito web.
Evita o riduci al minimo l'uso di librerie Javascript, widget, pulsanti simili, ecc. Oppure, se devi usarle, assicurati che siano servite da un https: URL e che il sito che li ospita sia uno ti fidi.
Su un argomento diverso, gli amministratori dei server di posta possono proteggere i loro utenti abilitando la protezione SSL / TLS per IMAP (o, meglio ancora, richiedendo l'uso di SSL / TLS su tutte le connessioni) e abilitando STARTTLS sui loro server SMTP.
Utilizzo della regola Privoxy:
echo '{ +redirect{s@http://@https://@} }
.foo.org' >> /etc/privoxy/user.action
ti reindirizzerà a HTTPS se un sito è autorizzato nella whitelist. Nell'esempio www.foo.org e foo.org e subdomain.foo.org è possibile utilizzare HTTPS solo perché il proxy lo reindirizza. Se esiste un mitm SSLStrip, la pagina dovrebbe solo caricare, caricare e caricare .... non sarà raggiungibile. Penso che questa sarebbe un'ottima soluzione (fixme).
Quando si visita il sito Web protetto SSL o SSH per l'host, si accetta il certificato. Se il certificato non viene convalidato con i server di autorità di certificazione pubblici o con qualsiasi CA locale, il browser ti avvisa del certificato errato. Pertanto, se si desidera proteggere il traffico dagli attacchi ARP, è necessario utilizzare un certificato SSL valido e non consultare gli avvisi sui siti Web relativi al certificato non valido. Con SSH, se il certificato è stato modificato, SSH ti informerà sulla modifica della chiave pubblica.
SSLStrip si limita a reindirizzare alle versioni http della pagina. Dal lato server, potresti introdurre cose come messaggi o immagini che indicano "il tuo browser è stato dirottato" o simili. Se ci si trova in un ambiente controllato, questo può essere gestito con un proxy web trasparente in linea che sostituisce tutto il contenuto http in questo modo. Simile alla risposta di etc etc, ma gestendo il problema sul lato server. In questo modo, non devi preoccuparti di pebkac e di dispositivi non autorizzati. Solo un paio di pensieri.
Leggi altre domande sui tag web-browser tls man-in-the-middle defense sslstrip