Campi password Web protetti + reindirizzamento http a https

6

Sono uno sviluppatore di software ma sto marcando la mia nicchia nello sviluppo sicuro. È emerso che durante l'utilizzo di WebScarab, ho scoperto che un popolare sito di gruppi di utenti non sembra prendersi cura correttamente delle password Web: la pagina di accesso è http, ma il pulsante di invio si collega a un link https.

Usando WebScarab Ho catturato la password in formato testo ... significando ai miei occhi che il mio messaggio verrà inviato come testo in chiaro, a meno che WebScarab non stia guardando questo input PRIMA che lo incapsuli tramite https.

In ogni caso, questo mi rende MOLTO a disagio guardando il testo in chiaro nella richiesta http ...

Le mie preoccupazioni sono fondate qui? Quale dovrebbe essere il mio prossimo passo? (Ho già segnalato questo al venditore.)

    
posta avgvstvs 19.08.2011 - 23:50
fonte

4 risposte

4

@Hendrik ha ragione nel dire che questo è un rischio per la sicurezza in quanto una pagina di accesso non HTTPS può consentire a un utente malintenzionato di modificare il link di invio prima che l'utente lo faccia, comunque al punto della domanda su webscarab.

Esso (insieme ad altri proxy) intercetta il traffico HTTPS (supponendo che tu l'abbia impostato come proxy per tutti i protocolli), quindi non significa necessariamente che il traffico avrebbe attraversato Internet in chiaro. Se il post era su un URL HTTPS, sarebbe crittografato.

Solitamente si può dire quando si utilizza uno dei proxy di intercettazione, poiché si otterrà un messaggio di errore SSL sul certificato che non corrisponde (a meno che non si sia configurato il browser in modo specifico per fidarsi dei certificati dal proxy)

    
risposta data 20.08.2011 - 00:33
fonte
8

Sì, questo è un problema di sicurezza perché un utente malintenzionato potrebbe essere in grado di modificare il codice HTML. Può modificare l'attributo action del modulo in modo che punti al proprio server. O meno ovvio e migliore: aggiungi del codice javascript che rispecchia la password sul proprio server senza interrompere l'accesso al sito reale.

Purtroppo sia Facebook che Twitter hanno dato un cattivo esempio qui. Google Plus, tuttavia, reindirizza immediatamente a https, quindi c'è un po 'di speranza.

Che cosa dovresti fare? Informa gli utenti che devono controllare la barra degli indirizzi per https e il dominio corretto prima di inserire le informazioni private nei moduli Web.

    
risposta data 20.08.2011 - 00:03
fonte
3

Rory ha esattamente ragione, ma vorrei sottolineare che tu (e i tuoi utenti) dovresti essere estremamente diffidente nei confronti dei certificati SSL corrotti. Ci sono intercettazione di proxy SSL nel mondo in grado di leggere e modificare qualsiasi cosa tu invii, basandoti sui giochi con certificati che portano esattamente a questi errori.

Se ti abitui, o peggio, ai tuoi utenti di accettare errori di certificato, il vantaggio di sicurezza di SSL scompare essenzialmente di fronte a chiunque nel percorso del pacchetto (ad esempio, nello stesso coffe shop o nello stesso hotel, non per citare il dipartimento IT).

So zero su webscarab, quindi perdonami se questo è fuori dal contesto, ma dovresti sempre essere sospettoso ogni volta che vedi le password in chiaro nelle acquisizioni di pacchetti. Se stai inviando password in chiaro sul back-end della tua app, è meglio essere sicuri di comprendere le proprietà di sicurezza della rete in questione.

SSL è economico e facile. Accendilo ovunque tu possa e sii felice.

    
risposta data 20.08.2011 - 06:10
fonte
1

Non ho ancora provato il webscarab, ma presumo che intercetti il traffico HTTPS generando certificati https non firmati. Una pagina di accesso http, in cui l'invio per sta puntando a una risorsa https, dovrebbe essere sicuro. Probabilmente hai accettato un certificato ssl webscarab nelle tue precedenti sessioni di debug e normalmente riceverai un avviso a riguardo.

Ma https è rotto in molti modi. Nel caso dell'intercettazione di https, la generazione di nuovi certificati SSL non è affatto necessaria! Perché?

Se l'attaccante utilizza un proxy di intercettazione (MiTM), può riscrivere in modo intelligente tutti i collegamenti html da https: // uri a http: //. Ora il tuo sito non utilizza più SSL per crittografare i dati sensibili e l'utente non riceverà alcun avviso di certificato SSL, perché non vengono utilizzati!

sslstrip è un proxy che fa esattamente questo.

Una contromisura per questo potrebbe essere quella di offuscare i tuoi link in modo tale che sslstrip non sarà in grado di riscrivere i tuoi link link . Mi vengono in mente Javascripts e CSS.

    
risposta data 20.08.2011 - 15:24
fonte

Leggi altre domande sui tag