Qual è il modo migliore per farlo e prevenire attacchi come SSL Strip?
Qual è il modo migliore per farlo e prevenire attacchi come SSL Strip?
Istruisci gli utenti a digitare sempre https://
per il tuo sito, seguire i link da un sito come google (che ha codificato HSTS
) o utilizzare un segnalibro. (Esegui questa formazione in aggiunta ad altre politiche formative sensibili: non fare cose sensibili alla sicurezza su wifi non protetti / pubblici o computer pubblici, utilizzare password complesse che non vengono riutilizzate, ecc. Quindi prova generazione dei creatori di browser per l'hardcode del tuo sito nel loro solo elenchi HSTS precaricati .
In realtà non c'è molto altro da fare.
EDIT: Non sono sicuro al 100% delle specifiche di SSL-Strip, ma secondo alcuni disattivando la porta 80 (oltre al semplice reindirizzamento a https) funzionerà per fermare gli attacchi SSL Strip. Quindi potrebbe essere ragionevole, anche se dovresti riconoscere che è possibile andare oltre SSLStrip per fare un attacco MitM contro un sito che serve solo HTTPS, se puoi indurre l'utente a visitare un sito HTTP che punta a un computer che controlli ( ad esempio, dopo lo spoofing ARP) prima che si connettono per la prima volta. Quindi, disattivare HTTP (porta 80) o avere solo la porta 80 invia solo reindirizzamenti a HTTPS (porta 443) sembra essere una mossa sensibile difensiva, dovresti essere consapevole che non impedisce gli attacchi con striping SSL in generale.
L'unico modo è di non offrire alcun dato sensibile (questo include già i moduli di accesso) sulla porta 80. In questo modo il client deve passare a https, a mano o automaticamente tramite il reindirizzamento ecc.