Gli URL possono essere annusati quando si utilizza SSL? [duplicare]

Naviga le tue risposte
18

So che le richieste HTTP possono essere annusate, in modo che sniffer possa vedere l'URL richiesto dalla vittima. Quindi 2 giorni fa la mia banca mi ha fatto un account web per vedere, inviare denaro ecc ...

La cosa che ho visto è che il mio ID di sessione è sempre sul mio URL .. Lo copio / incollato su un altro browser e ho effettuato l'accesso da esso senza inserire nome utente / password (sul nuovo browser).

Quindi la mia domanda è se i link https: // (get) siano sniffabili via cavo (ad es. con ettercap)? Dovrei essere preoccupato?

    
posta Марин-Мемо Митрев 15.02.2013 - 18:46
fonte

4 risposte

22

HTTPS utilizza TLS, ovvero Transport Layer Security. HTTP come protocollo, viene eseguito sopra il livello di trasporto. Ciò significa che tutte le comunicazioni effettuate da HTTPS, incluso l'URL, sono protette.

Il passaggio dell'ID di sessione nell'URL non è sicuro per altri motivi. Ad esempio espone la possibilità di Correzione della sessione . L'ID sessione scritto su carta se un utente stampa una pagina Web. Sconfigge anche l'uso dei cookie HTTPOnly ... Questa è solo una cattiva idea ed è probabile che questa banca abbia fatto altre scelte sbagliate riguardo alla sicurezza.

    
risposta data 15.02.2013 - 19:07
fonte
1

No, l'URL non viene passato in chiaro quando si effettua una richiesta HTTPS ma, come dichiarato da Rook, ci sono altre vulnerabilità nel passare l'id della sessione nell'URL.
1. Uno di questi è che l'ID della sessione verrà elencato come l'URL del referrer. Pertanto, se si fa clic su un collegamento dal sito Web delle banche a un altro sito Web, il sito collegato registrerà il proprio ID di sessione. Lo stesso accadrà con qualsiasi immagine o script caricato.
2. Oltre al problema con il sito collegato che memorizza le informazioni, se il collegamento è a un sito non-https, l'URL del referrer contenente l'ID della sessione verrà inviato in testo normale consentendo a chiunque di individuare la rete per ottenere l'URL.

    
risposta data 22.02.2013 - 05:38
fonte
0

Quando si utilizza HTTPS, il traffico verrà crittografato. L'unico problema è che se un utente malintenzionato ha accesso ad annusare il tuo traffico, potrebbe anche abusare di agire come server di destinazione e impostare una connessione crittografata con te che sembra essere la tua banca. L'utente malintenzionato crea quindi un'altra sessione con la banca e inoltra tutte le richieste alla banca e tutte le risposte a te. Questo ti dà l'illusione che stai effettivamente comunicando con la tua banca quando non lo sei.

È qui che i certificati entrano in gioco in quanto possono essere utilizzati per verificare che la destinazione sia quella che dicono di essere. In questo caso incassi.

Ci sono anche alcuni modi per abusare dei certificati per farli sembrare legittimi.

Ti consiglierei di controllare: link

Un ottimo video su questo argomento può essere trovato qui: link

    
risposta data 15.02.2013 - 20:16
fonte
0

Dovrò non essere d'accordo con alcune delle risposte qui. In senso stretto, nessun URL può essere annusato puramente in quanto protetto da SSL come indicato correttamente.

Nello spirito del senso "sono sicuro" della domanda, sappi che se sono in grado di annusare, potrebbero comunemente condurre un attacco MITM, ottenendo dettagli anche con i siti per i quali stai usando tipicamente SSL. (Vedi sslstrip).

Punta sempre a prestare attenzione al tuo browser e non dare per scontato nulla:)

    
risposta data 22.02.2013 - 07:20
fonte

Leggi altre domande sui tag

I responsabili della sicurezza HIPAA sono responsabili per le violazioni? Perchè è semplice la dm-crypt consigliata solo per gli esperti?