Considera un utente che accede a un sito che utilizza HTTPS per tutto il suo traffico.
Un hacker sta cercando di usare un man-in-the-middle per curiosare sull'utente. Che informazioni può raccogliere?
Ovviamente il contenuto è crittografato e supponiamo che non possa decrittografarlo, ma cosa può imparare senza doverlo fare?
Il tipo di cose che sto pensando sono:
-
Il fatto che l'utente stia andando sul sito. Immagino che probabilmente ci sarebbe stata una richiesta DNS per il nome di dominio, e quella richiesta non sarebbe stata crittografata, quindi l'hacker sa come minimo che l'utente stia accedendo a questo specifico sito.
-
URL: gli URL effettivi della richiesta sono crittografati e il contenuto? In caso contrario, alcuni URL potrebbero contenere informazioni utili per l'autore dell'attacco (ad esempio quali pagine sono state richieste, numeri ID per i dati richiesti, ecc.)
-
La dimensione dei dati trasmessi: se l'hacker sa cosa fa il sito e cosa dovrebbe essere scaricato o pubblicato, credo che sarebbe in grado di calcolare all'incirca ciò che l'utente sta facendo solo dalla dimensione dei dati di ogni richiesta / risposta di https. Ad esempio, se lo scopo del sito è quello di consentire agli utenti di scaricare documenti protetti, l'hacker potrebbe dedurre quale dei documenti sul sito l'utente ha scaricato.
-
Tempi di richiesta / risposta: simile a quanto sopra, se l'hacker ha conoscenza del sito e sa che una determinata pagina ha un tempo di risposta lento, sarà in grado di dedurre quando l'utente è andato a quella pagina .
La maggior parte di questi si basa sull'hacker che ha una certa conoscenza del sito, quindi questo non è un hacker casuale di cui stiamo parlando; questo è un targeting specifico del sito e / o dell'individuo.
Quanto di quanto sopra è effettivamente fattibile? Avrei ragione a preoccuparmi di loro se sto sviluppando un sito sensibile? Ci sono altri angoli a cui non ho pensato?