Come proteggere i dati di accesso contro MitM con HTTPS abilitato?

5

Anche dopo aver abilitato HTTPS, l'utente non è completamente sicuro per quanto riguarda gli attacchi MitM, poiché esiste la possibilità di un archivio di certificati radice compromesso. Quindi, ovviamente, puoi utilizzare il blocco dei certificati per le app mobili. Ma ci sono altre opzioni per trasferire in sicurezza i dati di accesso / dati critici?

    
posta Malte 30.12.2016 - 01:48
fonte

4 risposte

2

... because there is the chance of a compromised root certificate store.

Si suppone effettivamente che l'autore dell'attacco sia in grado di compromettere il sistema su cui è in esecuzione il client. In questo caso è impossibile proteggere il cliente. Mentre il blocco dei certificati può essere utilizzato per proteggere da un trust store modificato, l'utente malintenzionato può comunque modificare il client stesso e ottenere così i dati non crittografati. Esempi di questo sono le estensioni del browser che hanno accesso ai dati semplici, ma possono anche essere fatte sostituendo la libreria TLS collegata all'applicazione client o modificando l'applicazione client stessa.

Come suggerisce il nome: un uomo nel mezzo dell'attacco è solo un uomo nel mezzo e non un uomo nel cliente. TLS correttamente implementato protegge contro l'uomo nel mezzo ma non può proteggere contro un client o un server compromesso come nel tuo caso. E non c'è modo di proteggere completamente i dati se il client o il server sono già stati compromessi.

    
risposta data 30.12.2016 - 08:54
fonte
0

Potresti utilizzare una VPN, quindi il server VPN effettua la richiesta al server su HTTPS, dopo esserti connesso alla VPN. Ovviamente, questo significa che devi assicurarti che il server VPN sia sicuro.

    
risposta data 30.12.2016 - 03:07
fonte
0

L'approccio è ottenere il certificato come nel contesto di esecuzione del client e quindi confrontarlo con il certificato originale. Questo è lo stesso approccio del blocco dei certificati se stai sviluppando un'applicazione. Se lo si desidera per il browser Web, è possibile sviluppare un oggetto Flash per fare lo stesso o utilizzare il progetto Forge: link

    
risposta data 30.12.2016 - 07:29
fonte
-1

Qual è il tipo di applicazione che stai usando (web app / web service)?

Se il client non è browser, è possibile implementare un ulteriore livello di crittografia su TLS (come la sicurezza dei messaggi in WCF).

Puoi anche implementare il blocco dei certificati per le app personalizzate.

    
risposta data 30.12.2016 - 05:53
fonte

Leggi altre domande sui tag