Il lucchetto sul mio browser indica davvero una ragionevole sicurezza contro le intercettazioni?

2

So che ci sono state implementazioni SSL rotte o deboli. I browser in realtà hanno standard decenti per ciò che accetteranno e visualizzeranno "il lucchetto"?

Inoltre, ci sono attacchi pratici da una prospettiva di intercettazione contro una connessione SSL completamente moderna?

Il lucchetto dovrebbe farmi sentire caldo e sfocato?

    
posta Cory J 14.03.2013 - 17:24
fonte

5 risposte

7

I browser usano il lucchetto per mostrare che usano SSL. Se:

  • il tuo browser è abbastanza recente;
  • non hai giocato con le impostazioni di sicurezza;
  • il browser non visualizzava un avviso spaventoso (non sempre rosso, ma decisamente spaventoso);
  • nessuno ha installato sulla macchina un software funky ( che include software della tua organizzazione specifica, che potrebbe installare un'autorità di certificazione attendibile personalizzata);

Allora sì, il lucchetto dà la ragionevole certezza che stai davvero parlando con il server che ti aspetti (non proprio quello che pensi di , piuttosto quello con il nome nell'URL ) e nessuno spiando la linea potrebbe vedere cosa si sta scambiando con il server. Le assicurazioni sono di competenza delle 80+ autorità di certificazione che il tuo browser o sistema operativo si fida per impostazione predefinita. Stranamente, i grandi contrattempi sul lato CA sembrano verificarsi solo raramente, circa una volta all'anno in media (in tutto il mondo!).

Naturalmente, se il tuo browser non è recente, presenta gravi vulnerabilità e il tuo computer è buono quanto hackerato. Se hai giocato con le impostazioni di sicurezza, potresti aver abilitato le suite di crittografia con poca o nessuna sicurezza. Se il tuo browser mostrava un grosso avvertimento e lo ignoravi, allora sei da solo. Se sul tuo computer è in esecuzione un software ostile, non è più il tuo computer.

E SSL protegge solo il mezzo di trasporto . Il server dall'altra parte è libero di imbrogliare in modi arbitrari. Quando i numeri delle carte di credito vengono rubati, non vengono origliati sulla linea; vengono saccheggiati direttamente dal database del server. Il lucchetto non dice nulla di robusto e sicuro del server.

    
risposta data 14.03.2013 - 18:08
fonte
3

No, il lucchetto non dovrebbe farti sentire caldo e confuso, tutto ciò significa che il browser è connesso a una destinazione con SSL. Questa è una buona cosa in generale, tuttavia non dovrebbe farti pensare che i tuoi dati siano completamente sicuri perché:

  • Potrebbe esserci un uomo nel mezzo. Questo potrebbe semplicemente essere un proxy aziendale che termina tutte le connessioni SSL, oppure potrebbe essere un attacco di qualche tipo.
  • Il browser non conosce il livello di crittografia utilizzato. Un browser utilizza lo stack del sistema operativo per aprire una connessione SSL, quindi se il sistema operativo supporta la crittografia debole come 3des o RC4 e il sistema operativo negozia quello tra sé e il server, tutto il traffico potrebbe essere decodificato molto più facilmente rispetto a una crittografia strong come AES Usato

È sicuramente meglio di nessuna crittografia, ma vedere il lucchetto non è una garanzia.

    
risposta data 14.03.2013 - 17:32
fonte
2

Quindi cosa significa veramente la serratura? L'utente medio non è educato su questo argomento, e per questo l'utente li fa sentire al sicuro. Ma in realtà qualsiasi immagine di un lucchetto fa sentire le persone al sicuro, anche un favicon di un blocco ssl / tls è stato sufficiente per ingannare la maggior parte degli utenti .

Per il browser, la connessione TLS rappresentata dal lucchetto è uno strumento utile per impedire attacchi come Firesheep e conformarsi con OWASP a9 . (E , StackOverflow e StackExchanges sono vulnerabili ). Tuttavia, questa protezione non scala molto bene. Esiste un numero molto elevato di CA che può produrre un certificato valido. Se l'avversario cade nel regno degli attacchi sponsorizzati dallo stato, la firma di una CA pubblica non garantisce nulla. (Esistono molti esempi di governi che abusano della PKI .)

SSL / TLS è ancora un protocollo molto utile, è solo il PKI che è rotto. Certificate Pinning è una buona soluzione per il PKI carenze. Un'applicazione può ancora contare sulla segretezza e integrare SSL / TLS facendo affidamento su un sistema non CA per l'autenticità.

Obbligatorio: Moxie Marlinspike e il futuro dell'autenticità .

    
risposta data 14.03.2013 - 18:30
fonte
1

Questa è una domanda davvero complessa che richiede una comprensione abbastanza completa di come funziona SSL. Innanzitutto, a livello di browser, in alcuni casi, esiste un modo per far apparire un lucchetto come icona di un sito piuttosto che come un vero indicatore SSL.

Quindi, SSL in realtà non indica che stai parlando con chi vuoi, ma piuttosto solo che l'URL al quale il browser sta andando corrisponde con il certificato che viene presentato dall'host e che il certificato è stato firmato da una CA visualizzata nelle Autorità di certificazione attendibili del tuo browser (che è un elenco gestito localmente).

Per essere sicuri che le cose siano sicure, dovresti esaminare i dettagli del certificato per assicurarti che siano validi e per il sito che intendi visitare. Normalmente questo può essere fatto cliccando o passando con il mouse sopra l'icona del lucchetto. Dovresti anche essere consapevole che se il tuo computer è compromesso con un virus, potrebbe essere possibile aggiungere una CA non valida all'archivio locale, il che potrebbe rendere un falso sito indicato come valido sotto la falsa CA.

Per quanto riguarda la comunicazione effettiva, SSL assicurerà che la comunicazione non possa essere intercettata, ma il lucchetto non è un strong indicatore che stai parlando con la parte giusta senza fare ulteriori scavi ed essere vigile per assicurare che il tuo computer funzioni correttamente e non sia infettato localmente da malware.

    
risposta data 14.03.2013 - 18:17
fonte
0

L'immagine del lucchetto può essere falsa, non la guarderei per alcun tipo di assicurazione.

Se l'URL stesso utilizza il protocollo HTTPS, allora almeno sai che i tuoi dati vengono crittografati durante il transito in una questione di SSL o TLS. Come sottolineato da @GdD, SSL / TLS presenta alcune debolezze intrinseche, che possono essere sfruttate. Inoltre, stiamo assistendo a un aumento degli attacchi e degli exploit rilasciati contro SSL / TLS (si veda questo ArsTechnica articolo Ho appena letto questa mattina ).

La tua domanda iniziale stava cercando "... indicare una ragionevole sicurezza contro l'intercettazione?". Come detto, con l'immagine del lucchetto stesso, la mia risposta è "no". Tuttavia, su HTTPS, la mia risposta è "sì" a condizione che tu ricordi la parola chiave nella tua domanda di "ragionevole", non "assoluto".

    
risposta data 14.03.2013 - 18:10
fonte

Leggi altre domande sui tag