Come garantire che un accesso stia davvero superando http?

2

Quindi mi è stata offerta la possibilità di partecipare a un evento di sensibilizzazione sulla sicurezza organizzato da alcune organizzazioni. Sul loro sito ho notato la casella di accesso nell'angolo, ma il sito è stato consegnato su HTTP. Probabilmente stanno facendo come altri siti e usano solo https per il login effettivo. Ho pensato. Quindi ho controllato l'origine della pagina, ho trovato il modulo da inviare per l'accesso e ho notato "http: // ...".

Quindi decido di fare un test. Scoppia gli strumenti per sviluppatori di google e acquisisci il post. Non vedo ancora alcuna menzione di https e vedo la mia password falsa in testo semplice (quindi non hanno crittografato con javascript prima dell'invio).

Voglio portarlo all'attenzione dei miei colleghi, ma prima voglio essere sicuro che lo stiano mandando su http. C'è un altro modo per verificare che la connessione stia andando oltre http (oltre a configurare un attacco MITM su me stesso, che sono abbastanza sicuro che l'amministratore di rete possa esprimere un grande ... dispiacere nei miei confronti)?

    
posta Lawtonfogle 19.12.2014 - 21:29
fonte

2 risposte

7

Quello che hai fatto è un test abbastanza approfondito, ma puoi ottenere prove ironclad in questo modo: installa Wireshark sul tuo computer, attivare l'acquisizione dei pacchetti ed eseguire il login. Se HTTPS, i pacchetti che acquisisci saranno contrassegnati come tali e saranno crittografati. In caso contrario, sarà possibile visualizzare le credenziali di accesso en claire nei dati acquisiti.

Si noti che la crittografia lato client con JavaScript non funziona. È vulnerabile a replay di attacchi e attacchi MITM perché qualsiasi client invia al server è la password, non importa cosa gli sia stato fatto.

    
risposta data 20.12.2014 - 06:10
fonte
3

La via più sicura sarebbe quella di posizionare un router in linea e monitorare i pacchetti, ma alla fine della giornata è davvero irrilevante. Nella migliore delle ipotesi, stanno lanciando la loro crittografia, che è ancora orribilmente cattiva.

Ci sono diversi modi in cui una pagina non HTTPS potrebbe essere compromessa per rinunciare alle credenziali anche se stanno facendo una qualche forma di crittografia lato client in javascript che ti manca.

    
risposta data 19.12.2014 - 22:21
fonte

Leggi altre domande sui tag