Quindi DNSSEC garantisce che l'indirizzo IP restituito non sia avvelenato. E https è per verificare il server remoto.
La mia domanda è che quando protetto da https, in quali circostanze, un client è vulnerabile?
Dico che vado a link , anche se non sono protetto da DNSSEC, quale danno può causare un avversario? Supponiamo che non ci sia materiale DigiNotar.
Grazie
https correttamente utilizzato può mitigare il rischio di non utilizzare DNSSsec perché viene controllato se l'endpoint è quello previsto convalidando il suo certificato. Inoltre, il trasporto dei dati è protetto. Ci sono molte cose che possono andare storte con https stesso (cifrature deboli, errori nel processo di validazione, troppe CA radice affidabili con gli stessi diritti ....) ma se si assume che tutto questo è gestito correttamente (che spesso non è) https ti darà la seguente protezione:
Questo è tutto ciò che ottieni.
In particolare sono assenti le protezioni contro gli attacchi causati da applicazioni Web insetticide o bug o errori di progettazione nel browser, ovvero CSRF, XSS, exploit che utilizzano Flash, Java, Silverlight, ActiveX, includono codice di terze parti dal sito che si visita (es. social network, tracking, pubblicità ...) e tutti gli altri tipici attacchi nel web di oggi. E https non aiuterà anche se il tuo computer è già compromesso da malware o software di sicurezza o di supporto che fa più danno di quanto non aiuti.
Let's assume no DigiNotar stuffs.
Ma è qui che sono presenti tutti i vantaggi di DNSSEC! Ad esempio, qui ci sono due situazioni in cui nessun DNSSEC risulterà in una sessione compromessa, ma l'uso di DNSSEC non sarà:
Leggi altre domande sui tag tls dns-spoofing dnssec