Problemi potenziali con una conversione da HTTPS a HTTP

Naviga le tue risposte
1

Sto riscontrando un problema con alcune email provenienti da servizi esterni come yahoo e google. In particolare, è possibile accedere alle risorse richieste solo tramite SSL. Ho trovato le seguenti informazioni su come risolvere potenzialmente il problema. link

L'autore afferma che ci sono potenziali problemi con l'inversione delle operazioni di un'operazione HTTPS forzata per consentire la conversione in HTTP. Qualcuno può espandersi su questi potenziali problemi? Sono curioso, perché questo potrebbe risolvere il mio problema attuale, ma non voglio creare potenziali vulnerabilità senza comprenderle più a fondo, né prevenirle interamente.

Aggiornamento: per chiarire la domanda un po 'di più. Sto chiedendo in particolare i potenziali tipi di minacce che potrebbero essere trasmessi su una connessione non HTTPS su un sito pubblico.

    
posta Joshua 28.02.2017 - 18:47
fonte

2 risposte

3

Il problema a cui si riferiscono è l'esposizione sensibile ai cookie, in particolare i cookie che contengono un token di autenticazione o di sessione. In questo caso, in particolare, non devi mai forzare un utente autenticato su HTTP e permetterle di rimanere autenticati. Questa era una pratica comune, anche tra le proprietà web molto grandi, fino a quando uno strumento chiamato Firesheep ha dimostrato quanto fosse pericolosamente catastrofico.

Quindi, se si utilizzano cookie di autenticazione o di sessione per identificare specifici utenti, o cookie che contengono eventuali dati sensibili, tali cookie dovrebbero essere contrassegnati con il flag "sicuro", che impedirà loro di essere inviato insieme alle richieste HTTP e limitarle solo alle richieste HTTPS.

In generale però, in questo giorno di età, non ci sono molte buone ragioni per farlo in ogni caso. Penserei a lungo e duramente a forzare HTTPS a HTTP e preferisco proteggere tutto con HTTPS quando possibile.

    
risposta data 28.02.2017 - 21:04
fonte
3

I am experiencing an issue with certain emails coming from exterior services such as yahoo, and google. Specifically that requested resources can only be accessed via SSL.

Ok, quindi ricevi un'email e contiene collegamenti a contenuti crittografati (https: //).

there are potential issues with reversing the operations of a forced HTTPS operation to allow conversion from HTTP. Can anyone please expand on these potential issues?

Molto semplicemente, l'autore / editore del contenuto che state consultando ha deciso, in base alle proprie ragioni e all'analisi costi / benefici, di utilizzare la crittografia. Se prendi in considerazione te stesso di fare un passo indietro e forzare una richiesta non crittografata (http: //), allora stai annullando la loro decisione.

Forse sono in marketing e hanno specificato l'immagine del banner colorato per usare https perché era facile e compatibile con tutto il resto. Non c'è alcun valore particolare per quell'immagine che deve essere protetta dalla crittografia. Nessun grosso problema ...

... D'altra parte, forse ti stanno mandando a una pagina con dati sensibili:

  • Forse ti stanno mandando a una pagina che chiede le credenziali.
  • Forse ti stanno mandando a una pagina che imposta i cookie che diventano importanti in seguito.
  • Forse stanno solo inviando una storia davvero bella che vorresti leggere, ma un filtro web basato sui contenuti potrebbe sollevare un sopracciglio.

Qualunque sia il caso, hanno scelto di crittografare. Se scegli di ignorare ciò che hanno scelto, allora c'è una buona possibilità che tu abbia esposto qualcosa per cui non hai negoziato.

    
risposta data 28.02.2017 - 21:33
fonte

Leggi altre domande sui tag

Ci sono rischi per la sicurezza che consentono di condividere gli account sul sito web è possibile includere hash (per esempio SHA-256) di documentarlo il documento