Come prevenire gli attacchi prima che venga stabilito HSTS per la prima volta? [chiuso]

2

Qual è il modo migliore per farlo e prevenire attacchi come SSL Strip?

    
posta Phoenix Logan 17.04.2014 - 00:22
fonte

2 risposte

3

Istruisci gli utenti a digitare sempre https:// per il tuo sito, seguire i link da un sito come google (che ha codificato HSTS ) o utilizzare un segnalibro. (Esegui questa formazione in aggiunta ad altre politiche formative sensibili: non fare cose sensibili alla sicurezza su wifi non protetti / pubblici o computer pubblici, utilizzare password complesse che non vengono riutilizzate, ecc. Quindi prova generazione dei creatori di browser per l'hardcode del tuo sito nel loro solo elenchi HSTS precaricati .

In realtà non c'è molto altro da fare.

EDIT: Non sono sicuro al 100% delle specifiche di SSL-Strip, ma secondo alcuni disattivando la porta 80 (oltre al semplice reindirizzamento a https) funzionerà per fermare gli attacchi SSL Strip. Quindi potrebbe essere ragionevole, anche se dovresti riconoscere che è possibile andare oltre SSLStrip per fare un attacco MitM contro un sito che serve solo HTTPS, se puoi indurre l'utente a visitare un sito HTTP che punta a un computer che controlli ( ad esempio, dopo lo spoofing ARP) prima che si connettono per la prima volta. Quindi, disattivare HTTP (porta 80) o avere solo la porta 80 invia solo reindirizzamenti a HTTPS (porta 443) sembra essere una mossa sensibile difensiva, dovresti essere consapevole che non impedisce gli attacchi con striping SSL in generale.

    
risposta data 17.04.2014 - 07:59
fonte
0

L'unico modo è di non offrire alcun dato sensibile (questo include già i moduli di accesso) sulla porta 80. In questo modo il client deve passare a https, a mano o automaticamente tramite il reindirizzamento ecc.

    
risposta data 17.04.2014 - 06:40
fonte

Leggi altre domande sui tag