La pubblicazione di HTTPS su Internet Explorer su Windows XP può essere resa sicura?

Naviga le tue risposte
5

Risposte a Perché HTTPS non è il protocollo predefinito? affermano che molti siti usano ancora HTTP chiaro invece di HTTPS perché tutti questi sono veri:

  • Un numero considerevole di visitatori del sito utilizza Internet Explorer 6, 7 o 8 per Windows XP (IE / XP).
  • IE / XP può vedere solo il primo certificato sulla porta 443 di un dato indirizzo IP perché utilizza la libreria TLS di Windows XP, che non ha il supporto per l'indicazione del nome del server (SNI). (Chrome e Firefox su Windows XP utilizzano diverse librerie TLS che supportano SNI.)
  • Il sito condivide un indirizzo IPv4 con un altro sito HTTPS perché non può permettersi un indirizzo IPv4 dedicato sempre più scarso.

Tuttavia, ad aprile 2014, il supporto esteso per IE / XP e il resto di Windows XP è terminato. Ciò significa che ci sono difetti in IE / XP che Microsoft non correggerà più. Un attore malintenzionato potrebbe installare software indesiderato sfruttando una vulnerabilità zero-day derivante da uno di questi difetti, che potrebbe vanificare lo scopo di riservatezza di HTTPS in due modi:

  • Un keylogger può acquisire tutte le credenziali di pagamento, come numeri di carte di credito e password Amazon o PayPal, che un utente IE / XP accede ai siti HTTPS.
  • Un proxy e un'autorità di certificazione in esecuzione sul computer locale potrebbe eseguire un attacco man-in-the-middle (MITM) su tutte le connessioni HTTPS dell'utente.

Quali fattori deve pesare l'operatore di un sito web per determinare se continuare a tentare di offrire pagine sicure agli utenti di IE / XP? Ci sono argomenti schiaccianti a partire dal primo trimestre del 2015 per accogliere o bloccare IE / XP su un sito sicuro?

    
posta Damian Yerrick 19.02.2015 - 17:45
fonte

3 risposte

2

Risposta rapida

No!

Soluzione accettabile

Anche una connessione HTTPS da IE o Windows XP non può essere considerata come garantito da un utente normale e persino abile. Era una combinazione debole conosciuta molto prima che Microsoft annunciasse la sua scadenza di supporto.

Quindi suggerirei un approccio a 2 passi per un architetto webserver.

  1. Rileva il referer, e se si tratta di qualsiasi versione di IE o XP, qualsiasi versione,  reindirizzare il client verso una pagina Web che indica che è stato identificato che si sta connettendo da un ambiente informatico che è noto come non protetto. Evidenzia chiaramente che non puoi essere ritenuto responsabile per qualsiasi spia sulla sua connessione che potrebbe verificarsi a livello del suo computer e del suo software scelto.

  2. Chiedigli se accetta il rischio e vuoi procedere con un  connessione non protetta anche con il famigerato blocco di piccole dimensioni che potrebbe essere visualizzato, anche con l'URL del server che inizia con https:// e anche con i certificati di alta qualità installati sul server web. Su esplicito consenso dell'utente, reindirizzarlo verso il nucleo del tuo server web tramite HTTPS. In caso di disaccordo, congratulatevi con lui per aver fatto una buona scelta e sperate di rivederlo presto in un ambiente di totale fiducia.

Questa sarà una comunicazione corretta che informerà i tuoi clienti e, allo stesso tempo, offrirà loro la possibilità di affrontare la tempesta e migliorare, un giorno, la loro sicurezza:).

    
risposta data 23.05.2015 - 12:22
fonte
1

Suggerirei che poiché Windows XP è ora fuori supporto (a parte le organizzazioni che hanno acquistato il supporto esteso di Microsoft) che per la maggior parte dei siti sarebbe ragionevole smettere di supportarlo.

Tuttavia, per valutarlo, è davvero una considerazione sito per sito. I fattori chiave potrebbero includere

  1. Quale percentuale di utenti del sito utilizza attualmente Windows XP / IE 6 (questo dovrebbe essere disponibile dai log del server web, software di monitoraggio)
  2. Esiste un motivo specifico per cui gli utenti del sito non possono eseguire l'aggiornamento a una combinazione di sistema operativo / browser più recente (ad esempio in alcuni casi applicazioni specifiche funzionano solo con combinazioni specifiche di browser / sistema operativo)
  3. Esiste un motivo commerciale per cui l'operatore del sito deve fornire assistenza a tutti i potenziali utenti (ad esempio requisiti contrattuali)
  4. Che tipo di attività viene eseguita dal sito. Come menzionato nei commenti, Windows XP / IE 6 è una combinazione vulnerabile nota ora, quindi ad esempio un'applicazione di banking online potrebbe prendere una decisione sul rischio di tagliare gli utenti che non vogliono o non sono in grado di eseguire l'aggiornamento per ridurre potenziali perdite di frode.
  5. Quali costi / consequenze ci sono per il sito per mantenere la compatibilità con IE 6 / Windows XP (ad esempio l'impossibilità di implementare SNI, o l'impossibilità di aggiornare il software lato server per le versioni che non supportano tale combinazione)
risposta data 22.03.2015 - 20:07
fonte
0

fondamentalmente daniel Azuelos ha una risposta piuttosto solida, ma voglio approfondire un po 'su quello.

IE su XP è per molte ragioni ovviamente non una buona idea, ma prima di tutto, a meno che qualcuno non possa avere IE6 su XP SP3 puoi almeno buttare quella cosa fuori dalla finestra e qualsiasi XP che non ha SP3 non può essere HTTPS è in primo luogo con un certificato di fiducia pubblica perché qualsiasi CA accreditata pubblicamente deve utilizzare SHA2 (SHA-256, SHA-384 o SHA-512) per un po 'di tempo, che funziona solo su SP3 di XP.

quindi in breve:

  • XP SP2 o inferiore non possono essere garantiti da certificati pubblici anche se questi computer XP sono sotto il tuo controllo (come i computer interni alla società) puoi utilizzare una CA personalizzata per farli funzionare
  • XP SP3 può essere reso almeno un po 'sicuro usando 3DES e un certificato RSA
  • per tutto ciò che deve essere più sicuro di un po '(specialmente tutto ciò che riguarda la gestione di dati altamente personali o di denaro, penso che XP non sia una buona idea.

quindi cosa puoi fare:

  • se i tuoi utenti di solito arrivano al dominio digitandolo, controlla le intestazioni e se c'è qualcosa che dice abbastanza chiaramente che si tratta di SP3 o di un browser diverso (in particolare Firefox poiché può essere abbastanza sicuro da un punto di vista HTTPS, poiché esegue la propria implementazione HTTPS), quindi reindirizza l'utente su HTTPS
  • altrimenti se non si è sicuri di quale pacchetto di servizi XP l'utente abbia e non stia usando firefox o forse chrome (non l'ho provato) rimani su HTTP e fornisci all'utente un intteritial che spiega che può fare clic su una pagina HTTPS anche se non funzionerà quando non ha XP Service Pack 3 o almeno un browser appropriato.
  • anche una cosa che può essere fatta è quella di permettere a OGNI utente di XP sull'intersitiale, e di accettare che usino il loro computer non sicuro per navigare nel sito web.
  • quando un utente di XP passa attraverso HTTPS, tieni costantemente ricordato all'utente (ad esempio con una bella barra in alto) che le cose che accadono su questo sito non possono essere rese molto sicure insieme a un infolink che spiega tutto il più semplice possibile sul perché, anche se ha un browser come firefox in grado di gestire HTTPS in modo sicuro, cose come il malware hanno un gioco facile su XP e quindi tutto ciò che scrive su questo computer può essere compromesso con facilità.
  • anche se l'utente ha IE6 o 7 chiarisce che IE6 è un browser errato (anche IE8 non è molto buono ma IE6 o 7 sono peggio) e dare loro informazioni per l'aggiornamento a IE8, o anche meglio, dare loro link a browser che possono funzionare molto meglio in generale su XP (come Firefox)
    • Questo non è solo da un aspetto di sicurezza ma anche da un aspetto di Webdesign. Internet Explorer 8 è l'unico IE su XP che supporta anche remotamente gli standard web in modo semi-corretto. certo, manca molto, ma probabilmente hai bisogno di meno hacker specifici per IE su IE8 che su IE6 o 7.
risposta data 30.10.2017 - 11:29
fonte

Leggi altre domande sui tag

Come posso sapere quale codice è stato utilizzato da python-gnupg? DNSSec vs SSL e IPsec