GET, avvertimento "mailto": come posso sapere se un sito è sicuro?

Naviga le tue risposte
2

Il mio gestore di password mi avvisa quando vado su determinati siti. Dicono che se penso che posso fidarmi del sito per andare avanti e usarlo .... questo mi lascia preoccupato mi mancherà qualcosa.

L'avviso pop-up che ricevo quando accedo alla pagina di accesso sul sito: "SITO WEB dice che LastPass ha rilevato un modulo di accesso non sicuro. Desideri continuare?"

Ecco la documentazione .

Il mio problema è che non ho idea se dovrei continuare o meno.

Domande:

  1. Come posso determinare se un sito è INSECURE perché sta utilizzando i metodi GET o mailto: ?

  2. Come posso determinare se un sito è SICURO se NON sta usando GET o mailto: ma LP pensa che lo faccia ed è un falso positivo, ecc .?

  3. Ho seguito un sito in cui ricevevo un avviso e hanno detto che stanno usando AJAX e non GET ... è un problema e come posso verificare perché continuano a dire che lo faranno affrontare presto questo problema che mi fa pensare se posso usare il sito in modo sicuro?

Ho chiesto a LP di questo e non vanno oltre quello che ho condiviso sopra.

    
posta KresWon895 29.08.2018 - 20:07
fonte

1 risposta

0

Se la documentazione di LastPass è aggiornata con il loro codice sorgente, non devi preoccuparti dei falsi positivi. (Puoi invece preoccuparti dei falsi negativi ). Rilevare un modulo che viene inviato tramite GET o mailto: è un compito relativamente facile.

Una richiesta GET in HTTP (e HTTPS) è il metodo di richiesta più semplice e diffuso. Trasferisce (quasi) tutti i tuoi dati nell ' URL , cioè nella stessa riga di lettere che viene visualizzata nella barra degli indirizzi del tuo browser. L'invio di un modulo in una richiesta diGET HTTP (S)% non è sicuro: ecco le possibili conseguenze .

L'altro metodo, doppiato mailto , non è in realtà un metodo di richiesta HTTP (s), ma piuttosto un modo per inviare i dati via e-mail al posto di un browser, HTTP e World Wide Web. L'invio di dati sensibili tramite e-mail anziché una richiesta diPOST HTTPS% potrebbe essere ancora meno sicuro .

Se davvero devi usare un sito Web che lo fa in entrambi i casi, meglio a) valuta le tue opzioni e prova a scegliere il concorrente di un sito; b) leggi due link appena sopra e valuta i tuoi rischi.

Per quanto riguarda AJAX, è fondamentalmente un livello di astrazione su HTTP (S). Potrebbe facilmente essere implementato con richieste di GET : Wikipedia ha un esempio perfetto di questo. Quindi utilizzare AJAX da solo non è rilevante per la domanda.

Alcuni chiarimenti:

  1. Gli autori di LastPass molto probabilmente sono ben consapevoli del fatto che esistono (a volte importanti) siti Web che non seguono le migliori pratiche di sicurezza. Pertanto, LastPass non impedirà l'utilizzo di tali siti Web a tutti i costi, ma mette in evidenza un problema e lascia l'onere del processo decisionale per l'utente.

  2. A volte, infatti, l'utilizzo di GET o mailto: è in qualche modo (probabilmente, ma) meno di un problema. Per esempio. quando il messaggio e-mail viene inviato a un dispositivo attivo la rete locale o quando una richiesta di GET termina sull'host locale. LastPass non può rilevare in modo affidabile tali eccezioni, ecco perché visualizza solo un avviso.

  3. Credo che se LastPass ha rilevato l'utilizzo di questi metodi, si può essere certi che uno di questi metodi sia, in effetti, utilizzato. Gli strumenti per sviluppatori (scheda "rete") possono aiutare a rintracciarli.

  4. Ancora una volta, l'utilizzo di AJAX da solo non significa che il modulo non venga inviato in una richiesta di GET . Potrebbe essere in entrambi i modi. Fingendo che un sito Web non stia utilizzando% richieste diGET perché sta usando AJAX è semplicemente sciocco.

risposta data 30.08.2018 - 02:24
fonte

Leggi altre domande sui tag

Ethical Hacking / Programmi Bug Bounty: il modo migliore per iniziare professionalmente? [chiuso] Qual è il corretto processo end-to-end per la trasmissione / elaborazione di dati conformi a HIPPA?