HTTPS è soggetto a numerosi attacchi MITM, questo è chiaro. Tuttavia penso che sarebbe utile per il pubblico ITSec se ci fosse un modo per forzare un determinato comportamento del browser quando si accede a siti conosciuti di fiducia.
In base alla mia (media) conoscenza dei vettori MITM, sarebbe utile proteggere domini specifici con comportamento client / browser che ha forzato una delle seguenti impostazioni:
-
Usa HTTPS solo quando colleghi il dominio X
-
Richiedi un'intestazione
If-Modified-Since
. Idealmente, voglio che il contenuto della cache non scada mai, indipendentemente da ciò che dice il "server". -
Richiedi solo cookie SSL. Sto cercando un modo per il browser di richiedere solo i cookie SSL dal nome di dominio DNS, e possibilmente dal nome del cookie.
-
Ignora reindirizzamenti 30x.
In definitiva, vorrei prendere le raccomandazioni e formattarle in una guida alla sicurezza per l'utente finale, o effettivamente distribuirle internamente a tutti i client interni, quando ci si connette a un elenco protetto di siti Web.