sslstrip vs privoxy reindirizza la regola sui client

Questo non funzionerà molto bene. Se lo provi, probabilmente scoprirai di non essere in grado di navigare nella maggior parte dei siti, perché la maggior parte dei siti non offre il loro sito tramite SSL (https:).

Il modo giusto per difendersi: installa l'estensione HTTPS Everywhere per Firefox . Ogni volta che visiti un sito Web che supporta https, HTTPS Everywhere reindirizzerà automaticamente il browser per utilizzare la versione https . È ottimo! Lo uso e lo consiglio vivamente.

Attenzione importante: sarai ancora vulnerabile agli attacchi in stile sslstrip / Firesheep quando navighi in siti che non supportano https. Non c'è molto che puoi fare a riguardo, ad eccezione di chiedere a quei siti di supportare https, o di evitare l'uso di reti wireless non criptate. (Oppure, acquista un servizio VPN crittografato sicuro per instradare tutte le tue comunicazioni attraverso: ma questo è scomodo e costoso.)

Sì, questa serie di regole Privoxy preverrà solo un semplice attacco SSLStrip. Ma non può prevenire contro tutti gli attacchi. Recentemente è stata compromessa un'autorità di certificazione con il nome di DigiNotar . DigiNotar sapeva di essere stato compreso ma non è riuscito a informare il pubblico che ha portato a Mozilla rimuovendoli come una CA affidabile . Questo hacker ha rivendicato a 4 altre CA compromesse . Questi certificati falsi sono stati utilizzati in iran a MITM Gmail e Facebook.

L'autore di SSLStrip, Moxie Marlenspike, è stato in grado di usarlo in combinazione con altri attacchi, come l'avvelenamento da byte null, per produrre certificati falsi. Questo attacco è stato trattato in Altri trucchi per sconfiggere SSL .

In entrambi i casi HTTPS Everywhere e Privoxy ricadono sugli stessi problemi. Il certificato sembra assolutamente valido dal punto di vista del browser .

Nel 2011, Moxie Marlenspike ha tenuto il discorso Il futuro dell'autenticità . In questo discorso spiega perché Convergence può risolvere questi problemi. Se sei in Iran o in Cina e sei preoccupato per il tuo ISP sponsorizzato dallo stato che esegue attacchi MITM su di te con certificati falsificati, puoi utilizzare Convergence per rilevare questo attacco. Tuttavia, per poter accedere al sito Web in sicurezza, devi utilizzare The Tor Project .

Le altre 2 risposte sono eccellenti, ma ho pensato di lanciare questo registro sul fuoco:

Se sei al lavoro (o dovunque tu stia utilizzando un computer che non è al 100% sotto il tuo controllo), allora non dovresti assumere alcuna sicurezza, neanche quando usi SSL.

Conosco molte grandi organizzazioni che distribuiscono i propri certificati di origine e hanno un dispositivo intercettazione SSL sulla loro rete. Questi dispositivi possono MITM il traffico SSL generando un certificato falso in tempo reale e firmando con la propria radice. Queste organizzazioni installano il certificato radice su tutte le loro apparecchiature, quindi se si utilizza un laptop aziendale, ad esempio, si fida già di questa root.

Se sei particolarmente cinico, potresti credere che le grandi CA e le CA sponsorizzate dal governo (come il ministero delle informazioni in Cina) stanno offrendo certificati falsi alle forze dell'ordine, ai servizi segreti e / o militari proprio per questo scopo.

L'unico modo per evitare il questo tipo di sniffing SSL è essere pignoli su quali CAI si fidi (ho rimosso molte CA sul mio laptop personale) e utilizzare un plug-in di tracciamento certificato come Certificato Pattuglia. Certificate Patrol manterrà traccia dei certificati che hai visto in passato (una sorta di primo criterio di fiducia) e ti notificherà se un certificato cambia in modo imprevisto.