Modello di minaccia per enormi avvisi su certificati SSL non attendibili e nessun avviso per connessioni HTTP semplici? [duplicare]

Non è un modello di minaccia , è un modello di business . I browser Web non sono in grado di avvisare su HTTP semplice perché questo sarebbe un avvertimento su l'intero Internet (non un avvertimento negativo, in realtà, ma che gli utenti ignoreranno rapidamente). I browser Web fanno avvisano sui problemi dei certificati con SSL perché i tentativi di phishing di successo sono una cattiva pubblicità. Il venditore del browser deve essere in grado di dimostrare che "fa qualcosa al riguardo", e questo è un avvertimento spaventoso.

La giustificazione teorica è che gli utenti sono ovviamente addestrati e sanno che in assenza della (in) famosa "icona del lucchetto" non c'è sicurezza. Quindi non hanno bisogno di avvisi per HTTP semplice; la mancanza di lucchetto dovrebbe essere sufficiente.

(Ci vuole un po 'di allenamento per essere in grado di dirlo senza snigger.)

Penso che abbia a che fare con il comportamento delle persone e il modo in cui Internet si è evoluto.

Ricordo che c'erano box di avviso modali in IE e Netscape ogni volta che c'era la prima sottomissione di un modulo su una semplice connessione HTTP, e c'era una casella di controllo che diceva 'non avvisarmi più'.

Mentre gli utenti di Internet si sono abituati a HTTPS, sono più preoccupati per la protezione dal phishing, cosa cercano di realizzare questi grandi avvertimenti RED. Un rivenditore di High Street nel Regno Unito è stato vittima di una truffa di phishing e le prime segnalazioni sono arrivate da clienti che hanno visto qualcosa di sospetto nel protocollo SSL: l'icona 'lucchetto'. Questo era poco prima delle avvertenze sullo schermo ROS - circa 3 anni fa.

Quindi, il modello di minaccia è lo stesso. Il modo in cui gli utenti Internet medi (e gli acquirenti) percepiscono e reagiscono ad esso sta cambiando.

Anche se penso che le altre risposte abbiano un punto valido per quanto riguarda i motivi finanziari dei venditori, ritengo comunque che ci siano validi motivi per visualizzare il "grande avvertimento spaventoso" nel caso di certificati SSL non attendibili.

Forse la cosa più pericolosa non è qualcuno che non si aspetta sicurezza (semplice connessione http, anche se è discutibile se il pubblico lo sa), ma la persona che si aspetta la sicurezza - e non la ottiene.

Sì, molte volte i certificati scaduti potrebbero non essere super pericolosi, ma questi avvertimenti possono essere indicatori di un attacco MitM in corso, quindi desidero sicuramente un avvertimento quando accade su un sito Web bancario in cui ho aspettative di sicurezza .

Riepilogo - Dato che le cose potrebbero essere suddivise in connessioni non sicure (http) e connessioni sicure (https), penso che sia ragionevole mettere in guardia le persone in misura maggiore quando la sicurezza che si ritiene sia funzionante non funziona come previsto, come opposto alla (presumibilmente) scelta consapevole di usare una connessione insicura in primo luogo.

Mi sto ponendo la stessa domanda. Permettetemi di iniziare riassumendo (e affrontando) le ragioni che ho trovato qui e altrove, e quindi spiegare l'unica buona ragione che ho trovato finora.

1. Prima di tutto, i certificati autofirmati non proteggono dagli attacchi man-in-the-middle perché non provano l'identità del sito web al quale ti stai connettendo. Cioè, sono essenzialmente inutili / dimostrano solo che stai parlando con stesso sito ogni volta.

   Questo è vero, ma in molti scenari, quel tipo di sicurezza debole è abbastanza buono . Non tutti gestiscono un sito di banking online. Gestisco una piccola community di forum su un server virtuale e un certificato SSL potrebbe rappresentare un costo significativo in relazione alle mie altre spese di hosting. Di conseguenza, ora non uso affatto la crittografia e ad es. su un WiFi pubblico chiunque potrebbe semplicemente leggere le password o i cookie di sessione dei miei utenti quando accedono.

   L'uso di un certificato autofirmato qui consentirebbe un significativo aumento della sicurezza, ma gli avvisi del browser potrebbero spaventare le persone.

   I siti in cui la sicurezza è essenziale richiedono certificati attendibili. Tuttavia, la debole sicurezza offerta dalla crittografia rappresenterebbe comunque un miglioramento per i siti con esigenze di bassa sicurezza che ora non utilizzano affatto la crittografia.

2. Mostrare all'utente che una connessione è crittografata senza un avviso creerà un falso senso di sicurezza. I siti di phishing potrebbero utilizzarlo per simulare una "pagina di accesso sicuro".

   Quindi non mostra all'utente che la connessione è crittografata. Non mostra alcuna differenza apparente a una connessione non criptata. Se l'utente interroga i dettagli della connessione in qualche modo (ad esempio facendo clic sulla favicon in Chrome), mostragli che la connessione è crittografata ma avverti che non è sicura, con le informazioni attualmente visualizzate nella schermata di avviso.

3. Tuttavia, l'utente potrebbe comunque aspettarsi una connessione sicura semplicemente dal prefisso del protocollo https:// .

   Questa è l'unica buona argomentazione che ho trovato fino ad ora, ed è davvero difficile da aggirare. Forse potremmo creare un nuovo prefisso di protocollo specifico per le connessioni che sono crittografate ma non sicure, come cttp (protocollo di trasferimento del testo cifrato). Forse sarebbe sufficiente scandagliare l'https e mostrare all'utente alcuni messaggi informativi di passaggio del mouse, come "Connessione non protetta. Non inserire informazioni riservate". - ma poi siamo di nuovo in allarme-terra.

Spero che questo sia abbastanza buono per una risposta dal momento che descrive il motivo per cui sono necessari gli avvertimenti, anche se in genere l'ho scritto per riflettere su me stesso. :)

Se non sta usando SSL, non è progettato per essere sicuro.

Gli avvisi indicano che la sicurezza prevista è interrotta. Una mancanza di sicurezza non è un problema di sicurezza.

Forse la minaccia sarebbe se si potesse scoprire che c'è bisogno di sicurezza TLS / SSL, ma il sito non lo offre. Ad esempio, si filtra il DOM e si rileva un campo denominato "nomeutente" e uno denominato "password", ma la pagina non viene presentata in HTTPS. Quindi, puoi avvisare l'utente "hey, potresti non voler accedere a questo sito, trasmetteranno la tua password in chiaro". Probabilmente potremmo pensare ad alcuni altri scenari come un campo chiamato "ssn" che richiede un numero di 9 cifre o un numero di 16 cifre che viene eseguito attraverso una verifica della cifra di controllo locale.

In realtà sembra che potrebbe essere un plugin utile, probabilmente qualche falso positivo qua e là, ma potrebbe potenzialmente aiutare a proteggere le persone.