sito Web winscp non-https

3

L'intero punto di WinSCP è fornire un canale sicuro tra un computer e un server. "Sicuro" significa che esiste la possibilità che un utente malintenzionato possa visualizzare o modificare byte inviati in entrambe le direzioni. Supponiamo di avere le chiavi dal server ma non ho installato WinSCP (o lo ho ma voglio aggiornarlo). In tal caso, scaricherò WinSCP da winscp.net che NON è https e quindi le pagine web che ottengo possono essere modificate da un utente malintenzionato in grado di modificare i byte inviati / ricevuti. La pagina web di download fornisce i checksum che possono anche essere modificati da un utente malintenzionato.

Le domande sono:

  1. Come mai gli autori di WinSCP non hanno ancora implementato https sul sito web?

  2. Che cosa posso fare per impedire l'attacco descritto?

posta Oleg 21.03.2015 - 13:05
fonte

3 risposte

4

Sono il sysadmin responsabile dell'hosting di WinSCP.net. Siamo passati a HTTPS gradualmente. Come prima cosa abbiamo reso disponibile la pagina con checksum (probabilmente già nel momento in cui hai scritto il post originale). Per qualche tempo è stato possibile accedere al sito Web sia su HTTP che su HTTPS e ora serviamo tutte le pagine su HTTPS. Si consiglia comunque di verificare la somma di controllo dopo aver scaricato i file poiché i file vengono serviti da un CDN in determinate regioni.

    
risposta data 07.06.2017 - 18:00
fonte
2

Sono d'accordo che sarebbe bello avere questo sito disponibile da https in modo che il trasporto dal sito all'utente sia protetto. Ma penso che si dovrebbe mettere questo rischio in relazione al rischio che rimane anche se il sito ha https:

  • Come facevi a sapere che devi visitare winscp.net e non un altro sito come winscp.org (annunci), winscp.com, download-winscp.net o qualsiasi altro sito potrebbe esistere. Probabilmente hai usato un motore di ricerca ma come facevi a sapere che puoi fidarti dei risultati? Se tu mai cercato download di firefox e usato i primi successi (o annunci) probabilmente hai una sorta di versione "migliorata".
  • Come fai a sapere che il sito non è compromesso? Non sarebbe il primo sito importante (ad es. jquery.com è stato violato , yahoo, winzip too . Nessun https ti protegge da un sito compromesso.
  • Come sai che puoi davvero fidarti delle persone che scrivono questo codice? Potresti aver aggiunto una backdoor ad esso.
  • e probabilmente altre domande ....

Quindi sì, avere https sarebbe un miglioramento. Ma a mio parere sarebbe ancora meglio se i checksum (cioè sha-1, sha-256 ...) si propagassero il più ampio possibile in modo da poter ottenere i checksum da una fonte diversa (o da più fonti) e poi controlla il tuo download contro di esso. Quindi potresti rilevare i problemi anche se il sito è stato compromesso o se hai scaricato il programma da un altro sito.

    
risposta data 21.03.2015 - 14:02
fonte
2

What can I do to prevent described attack?

I binari del programma di installazione di WinSCP sono firmati con Authenticode, quindi dovresti essere in grado di fare clic con il pulsante destro del mouse su properties .exe e controllare il firmatario.

Ovviamente dovresti sapere che Martin Prikryl è l'autore legittimo, e dovresti fidarti di Verisign per esserti assicurato che è davvero così, e dovresti avere fiducia che la sua macchina non sia stata compromessa. Ma quelli sono gli stessi problemi affrontati da HTTPS.

Ma sì, sarebbe meglio se il sito di download fosse HTTPS. Purtroppo la distribuzione del software senza firma sembra essere la norma (almeno nel mondo Windows). Ci sono casi peggiori (es. Download di PuTTY che non sono né firmati né distribuiti da HTTPS).

Non ho visto un proxy MitM che esegue automaticamente il trojan dei file EXE scaricati HTTP, ma sembrerebbe un attacco semplice.

    
risposta data 21.03.2015 - 14:19
fonte

Leggi altre domande sui tag