Quando si utilizza https ma non DNSSEC, in quale situazione, un client è vulnerabile?

11

Quindi DNSSEC garantisce che l'indirizzo IP restituito non sia avvelenato. E https è per verificare il server remoto.

La mia domanda è che quando protetto da https, in quali circostanze, un client è vulnerabile?

Dico che vado a link , anche se non sono protetto da DNSSEC, quale danno può causare un avversario? Supponiamo che non ci sia materiale DigiNotar.

Grazie

    
posta Eniaczz 09.03.2015 - 21:02
fonte

2 risposte

7

https correttamente utilizzato può mitigare il rischio di non utilizzare DNSSsec perché viene controllato se l'endpoint è quello previsto convalidando il suo certificato. Inoltre, il trasporto dei dati è protetto. Ci sono molte cose che possono andare storte con https stesso (cifrature deboli, errori nel processo di validazione, troppe CA radice affidabili con gli stessi diritti ....) ma se si assume che tutto questo è gestito correttamente (che spesso non è) https ti darà la seguente protezione:

  • Parli con il server corretto.
  • Il traffico tra browser e server è protetto in transito contro lo sniffing e la modifica.

Questo è tutto ciò che ottieni.

In particolare sono assenti le protezioni contro gli attacchi causati da applicazioni Web insetticide o bug o errori di progettazione nel browser, ovvero CSRF, XSS, exploit che utilizzano Flash, Java, Silverlight, ActiveX, includono codice di terze parti dal sito che si visita (es. social network, tracking, pubblicità ...) e tutti gli altri tipici attacchi nel web di oggi. E https non aiuterà anche se il tuo computer è già compromesso da malware o software di sicurezza o di supporto che fa più danno di quanto non aiuti.

    
risposta data 10.03.2015 - 02:24
fonte
0

Let's assume no DigiNotar stuffs.

Ma è qui che sono presenti tutti i vantaggi di DNSSEC! Ad esempio, qui ci sono due situazioni in cui nessun DNSSEC risulterà in una sessione compromessa, ma l'uso di DNSSEC non sarà:

resolver dirottato

  • Viene emesso un certificato fraudolento per un sito web
  • I server DNS di un ISP sono dirottati per puntare all'IP sbagliato

Avvelenamento da cache

  • Viene emesso un certificato fraudolento per un sito web
  • La cache di un resolver è avvelenata con un IP dannoso
risposta data 12.08.2016 - 05:14
fonte

Leggi altre domande sui tag