Il sito Web della mia banca è sicuro, se utilizza HTTPS parziale?

3

La mia banca (non così piccola) ha un sito Web per effettuare transazioni su Internet e dispone di un sito Web HTTPS. Ma il mio Firefox 29 ha scritto che il sito Web è solo parzialmente crittografato. Ho fatto una piccola ricerca con Wireshark e ho scoperto che c'è un solo elemento che usa HTTP (e non HTTPS):

<script type="text/javascript" src="/static/portal/impl/j/jwplayer.js" charset="utf-8">

e questo file .js utilizza / scarica tramite HTTP (lo posso vedere in about: cache):

http://l.longtailvideo.com/download/5/10/logo.png

Quindi, se voglio accedere al sito web della mia banca per inviare denaro a qualcuno, devo utilizzare un sito Web che è solo parzialmente crittografato a causa di quel file .png.

La mia domanda: non è pericoloso? Se sul sito Web HTTPS è presente un elemento scaricato tramite HTTP, è possibile eseguire "cose cattive", no? Ad esempio, qualcuno della mia LAN può sostituire il file .png con un javascript o altri elementi dannosi?

    
posta user45818 01.05.2014 - 20:10
fonte

2 risposte

3

Il download non SSL comporta il rischio teorico (e anche pratico) di essere intercettato da un attaccante attivo, che farà "qualcos'altro" con esso.

Javascript, da solo, non può eseguire download al di fuori del proprio dominio; questo è il punto della Politica Same-Origin . Poiché Javascript è caricato dal dominio bancario ( foo.com ) ma il download proviene da l.longtailvideo.com , allora si deve supporre che Javascript abbia richiesto al browser di effettuare il download, molto probabilmente inserendo un <img> tag nella pagina HTML.

I browser sono, generalmente parlando, ben protetti contro le immagini dannose; in caso contrario, verrebbe compromesso quando si eseguono ricerche su Google o si accede a vari forum, poiché in molti forum è possibile incorporare collegamenti a immagini esterne.

Nel tuo caso, l'immagine è il logo di un video player in Javascript / Flash (a seconda di cosa può fare il browser); Penso che sia questo , anche se forse una versione precedente perché il loro logo sembra essere cambiato. Questo post del blog indica indirettamente che il giocatore con il logo che osservi era la "versione più recente" più di due anni fa.

Qual è la cosa peggiore che potrebbe accadere? Suppongo che il logo sia visualizzato da qualche parte sulla pagina. Un attaccante laborioso potrebbe sostituire il contenuto del logo con una sua immagine, possibilmente un'immagine più grande che potrebbe interrompere il layout della pagina.

Ci sono cose peggiori, però. L'utente malintenzionato potrebbe restituire un "reindirizzamento" HTTP per fare in modo che il browser invii una richiesta GET a qualsiasi altro URL arbitrario. Probabilmente troverai questa domanda precedente interessante: discute cosa potrebbe accadere con un tag <img> indicando un server controllato da un utente malintenzionato. Questo vale per il tuo caso.

Ad ogni modo , il semplice fatto che il tuo browser ti avverta è una brutta cosa: o l'avvertimento è importante, e questo è un avviso di sicurezza che dovrebbe essere trattato come tale; o l'avviso è spuria, e allena l'utente a ignorare gli avvisi di sicurezza, il che non è affatto buono a lungo termine.

    
risposta data 01.05.2014 - 20:38
fonte
1

Sì, è pericoloso. HTTPS fornisce la crittografia end-to-end, ad es. protegge da uno sniffing man-in-the-middle o peggio manipolando i dati. Considera il caso in cui una risorsa javascript viene caricata solo su HTTP e l'utente malintenzionato può sostituirla con qualcos'altro: quindi l'autore dell'attacco potrebbe aggirare qualsiasi protezione di sicurezza del sito semplicemente leggendo e scrivendo il contenuto esistente.

Per proteggere l'utente da questo caso, i browser più moderni aggirano questi siti danneggiati rifiutando le risorse solo HTTP sui siti HTTPS, ma i vecchi no.

A parte questo, è meglio chiedere a te stesso se ti fidi ancora di una banca per mantenere la sicurezza necessaria per l'online banking se non ottiene questo materiale di base giusto.

    
risposta data 01.05.2014 - 20:37
fonte

Leggi altre domande sui tag