Login HTTPS contro attacco MITM

Naviga le tue risposte
9

link

La mia domanda è, se la minaccia è che qualcuno controlli la tua connessione Internet e possa servire pagine di login sbagliate, l'autore dell'attacco non potrebbe servirti solo una pagina come facebook.com invece di https://www.facebook.com ?

Molti siti hanno solo un reindirizzamento 301 al loro sito sicuro, quindi non vedo cosa impedisca a un utente malintenzionato di sfruttare la vittima che digita facebook.com e quindi di pubblicare quella pagina con un falso modulo di accesso. L'idea che l'utente noterebbe che non c'è nessun blocco nell'angolo in alto a sinistra?

Non sono sicuramente l'esperto in questo, quindi sto chiedendo di approfondire la mia conoscenza; Non sto cercando di smentire nessuno e voglio solo capire meglio la sicurezza.

    
posta tau 03.04.2014 - 05:07
fonte

2 risposte

4

Sì. L'autore dell'attacco potrebbe semplicemente servirti link e dirottare tutte le richieste e le risposte da e verso il tuo computer. In tale scenario, sei corretto: spetterebbe all'utente essere vigile e rendersi conto che non stanno navigando in sicurezza.

    
risposta data 03.04.2014 - 05:33
fonte
10

Hai ragione.

Alcuni modi in cui il sito può ridurre il vettore di attacco sarebbe ...

Utilizza un'intestazione HSTS per impedire che eventuali dati vengano inviati al sito in testo semplice.

Pubblicizza solo l'URL HTTPS e non consente alcuna connessione in chiaro. Ciò garantirà che la maggior parte dei segnalibri utilizzi la crittografia.

Il punto è che i siti dovrebbero forzare SSL dall'inizio, il che aiuterà a prevenire il MITM in futuro. Non c'è molta protezione della situazione che hai presentato, come quando usi moduli di contenuti misti, sei vulnerabile a sslstrip

    
risposta data 03.04.2014 - 05:53
fonte

Leggi altre domande sui tag

Login senza password usando solo il tuo indirizzo e-mail? WhatsApp rivela l'indirizzo IP del mittente?