Password inviata tramite TLS: minacce diverse da TLS di compromissione?

2

Una delle mie scoperte durante un controllo di sicurezza era una password, inviata come è in rete. Pessimo come sembra, questo accade solo su una connessione HTTPS. Alcuni autori suggerito qui che misure aggiuntive non sono necessarie, altri indicano alcuni problemi come mi è stato detto nei commenti.

Quali sono le minacce che non sono mitigate dal TLS? Ovviamente, le password perdono se la connessione TLS viene attaccata da un man-in-the-middle o altrimenti compromessa. Qualcos'altro?

    
posta Konstantin Shemyak 01.04.2016 - 08:12
fonte

1 risposta

2

Is there any other attack vector ...

Dipende dai dettagli della tua implementazione. Se si utilizza una richiesta POST o l'autenticazione HTTP comune, si dovrebbe andare bene. Ma se si sta utilizzando una richiesta GET per inviare la password (cioè modulo con metodo = GET o simile), la password potrebbe essere conservata nei file di registro, nell'intestazione HTTP Referer ecc. Che apre più vettori di attacco.

    
risposta data 01.04.2016 - 08:34
fonte

Leggi altre domande sui tag