Metodi per sconfiggere SSL

5

Ho visto questo video in cui il ragazzo parla dei modi per sconfiggere SSL. Ma il video ha 4 anni. Volevo sapere se questi attacchi sono rilevanti anche adesso, o sono stati fatti alcuni aggiornamenti per affrontarli.

I due diversi attacchi (o strumenti) di cui ha parlato nel video sono

  • SSL-Strip : è simile a man in the middle nella catena di certificati or in alcuni casi senza catena di certificati. Può funzionare sfruttando i certificati con prefisso nullo.
  • SSL-Sniff : monitora la transizione / reindirizzamento della pagina Web da http a versione https.

Suppongo che l'attacco SSL-Strip dovrebbe essere rilevante anche adesso. Sono un principiante del protocollo SSL, quindi perdonami se ho una comprensione sbagliata di esso. Qualsiasi buon materiale di lettura sullo stesso sarebbe apprezzato.

    
posta Ravi Upadhyay 11.11.2015 - 04:45
fonte

1 risposta

10
  • sslstrip: si tratta di un attacco di downgrade, ovvero il browser è obbligato a utilizzare HTTP non sicuro anziché HTTPS. È ancora possibile, ma può essere mitigato dal server con HSTS , almeno per i browser supportati. La maggior parte dei browser attuali lo supportano, vedi caniuse.com per ulteriori dettagli.
  • sslsniff: questo è un attacco man-in-the-middle. I browser hanno rilevato questo già 4 anni fa, ma ora hanno avvertimenti per lo più più rigidi e quando combinato con HSTS il browser non consentirà più il bypass di questo avviso.

Any good reading materials on the same would be appreciated.

Per maggiori dettagli sulle tecniche di mitigazione e i loro limiti leggi su HSTS , HPKP e come queste tecniche ha aiutato a rilevare gli attacchi reali .

    
risposta data 11.11.2015 - 07:15
fonte

Leggi altre domande sui tag