È sicuro che un sito offra la pagina di accesso con HTTP, ma ha il sito reale in HTTPS? [duplicare]

Naviga le tue risposte
2

Su alcuni siti Web, la pagina di accesso (dove si inseriscono i dettagli di accesso) viene servita da una normale connessione HTTP senza crittografia. Tuttavia, una volta effettuato l'accesso, la pagina passa immediatamente a una connessione HTTPS protetta durante la visualizzazione dei dettagli del mio account, ecc. Sembra che l'utilizzo di SSL dopo l'immissione della password sia inutile, in quanto un utente malintenzionato può già intercettare la connessione e ottenere i dettagli di accesso. La protezione dei dati dopo l'immissione del login ha qualche vantaggio in termini di sicurezza o è solo un falso senso di sicurezza?

Un esempio di questo è il sito Corsair Force .

    
posta bubbles 20.03.2014 - 22:43
fonte

3 risposte

6

Specialmente su una pagina di accesso l'intera pagina dovrebbe essere https. Fare di tutte le pagine la pagina di login http e mettere https sotto un pulsante è una cattiva pratica nel mio libro.

Questo rende molto più semplice eseguire attacchi strip MiTM / SSL sostituendo l'azione https sotto il pulsante con un semplice link http e nessuno può dire a meno che non ispezionino la fonte (poiché i pulsanti non mostrano il collegamento che sono riferendosi ai collegamenti normali rispetto al contenuto). E anche quando si controlla la fonte, poiché alcuni browser ricaricano la pagina quando mostra la fonte, non c'è certezza.

Felice di sentire i motivi che lo contraddicono, ma non vedo perché una pagina di accesso debba MAI essere http apposta quando il resto del sito è https diverso dallo sviluppo non sicuro del sito.

    
risposta data 20.03.2014 - 23:09
fonte
2

It seems that using SSL after the password is entered is pointless, as an attacker can already intercept the connection and get the login details.

No, le credenziali stesse di solito sarebbero trasferite in modo sicuro. Prima il tuo browser invia qualcosa che stabilisce una connessione SSL / TLS, che viene poi utilizzata per i dati effettivi dell'applicazione. Nota comunque che questo è solo vero nel caso in cui non ci sia un uomo attivo nel mezzo che manipola il sito o il modulo di accesso.

Tuttavia, non credo che esistano motivi validi in questo giorno e non per criptare tutto . Questo ha un paio di vantaggi rispetto a qualsiasi tipo di approccio misto.

Prima di tutto è molto più difficile fare confusione. Ci sono stati abbastanza esempi in passato, in cui il login stesso era protetto, ma il cookie di sessione per intance, non era . Firesheep era famoso sfruttando questo per dirottare le sessioni e molti grandi giocatori erano vulnerabili a questo tipo di attacco.

Un altro attacco comune è stripping attack . Puoi benissimo servire tutti i tuoi link tramite una connessione sicura, ma un uomo nel mezzo può sostanzialmente provare a sostituire ogni occorrenza di https con http . sslstrip è uno strumento che esegue questa operazione automaticamente al volo e si trova nella configurazione del tuo server per bloccare queste richieste.

Inoltre, puoi utilizzare Sicurezza del trasporto rigoroso HTTP quando pubblichi i tuoi contenuti tramite Solo SSL / TLS. Questo rende assolutamente sicuro che i browser non si preoccupino nemmeno di provare a connettersi al tuo servizio senza stabilire una connessione sicura in primo luogo.

Un'altra cosa importante da notare è che non puoi essere certo che il sito non sia stato manomesso da un uomo attivo nel mezzo . Ovviamente una tale entità potrebbe manipolare il modulo stesso in un modo che il tuo browser in effetti invierà le tue credenziali non crittografate o in qualcosa di completamente diverso , rendendo inutilizzabile l'intero schema di autenticazione.

Tuttavia, c'è un altro punto, che almeno a mio avviso è più importante . Offrendo esclusivamente il tuo servizio tramite SSL / TLS, in un certo senso stai proteggendo efficacemente la privacy dei tuoi utenti . Questo è qualcosa che Edward Snowden ha menzionato di recente nel suo TED talk . Ha dato l'esempio che non è possibile acquistare un libro da Amazon senza che il governo lo sappia, perché Amazon sta servendo la maggior parte dei propri siti tramite HTTP semplice e utilizza solo HTTPS per il checkout stesso. Questo è vero per la maggior parte dei siti, ed è un peccato, perché in pratica significa che i governi di questo mondo sanno sempre cosa stai facendo.

Nel passato si sosteneva che le prestazioni rappresentavano un problema, che era l'argomento prevalente contro l'utilizzo esclusivo di SSL. Non penso che sia più vero . In questi giorni è relativamente economico ottenere prestazioni extra e SSL / TLS sono entrambi ottimizzati in modo tale che le connessioni negoziate in precedenza possano essere facilmente riutilizzate.

    
risposta data 21.03.2014 - 00:11
fonte
1

Se dai un'occhiata al modulo che pubblica i tuoi dati di accesso, vedrai quanto segue: 

action="https://corsair.secure.force.com/SiteLogin?refURL=http%3A%2F%2Fcorsair.force.com%2F

Questa azione viene infatti pubblicata su SSL / TLS. In un mondo ideale, l'intero sito è SSL. Attualmente, per il sito in questione, i dettagli di accesso sono pubblicati su un canale sicuro.

Un vettore di attacco potrebbe essere un attacco MiTM (man-in-the-middle). Ad esempio, quando si preme la pagina di accesso, è possibile iniettare un'altra azione nell'elemento modulo.

Per rispondere alla domanda, SSL offre il vantaggio che i dati trasmessi non possono essere visualizzati o manomessi da una terza parte. SSL su un sito dopo che il login crediential è stato passato avrebbe comunque fornito le misure di sicurezza di cui sopra. Ovviamente le tue credenziali sarebbero ora note a un utente malintenzionato, che potrebbe quindi accedere come te.

    
risposta data 20.03.2014 - 22:49
fonte

Leggi altre domande sui tag

Decifrare i messaggi di Enigma Imparando a utilizzare gli strumenti di script in Python e in generale Pen Testing