Come posso forzare determinati clienti Web a onorare o ricordare determinati parametri dal server web?

1

HTTPS è soggetto a numerosi attacchi MITM, questo è chiaro. Tuttavia penso che sarebbe utile per il pubblico ITSec se ci fosse un modo per forzare un determinato comportamento del browser quando si accede a siti conosciuti di fiducia.

In base alla mia (media) conoscenza dei vettori MITM, sarebbe utile proteggere domini specifici con comportamento client / browser che ha forzato una delle seguenti impostazioni:

  • Usa HTTPS solo quando colleghi il dominio X

  • Richiedi un'intestazione If-Modified-Since . Idealmente, voglio che il contenuto della cache non scada mai, indipendentemente da ciò che dice il "server".

  • Richiedi solo cookie SSL. Sto cercando un modo per il browser di richiedere solo i cookie SSL dal nome di dominio DNS, e possibilmente dal nome del cookie.

  • Ignora reindirizzamenti 30x.

In definitiva, vorrei prendere le raccomandazioni e formattarle in una guida alla sicurezza per l'utente finale, o effettivamente distribuirle internamente a tutti i client interni, quando ci si connette a un elenco protetto di siti Web.

    
posta random65537 01.10.2011 - 01:44
fonte

2 risposte

2

HTTP Strict Transport Security (HSTS), una funzionalità introdotta da Chrome ( link ) rappresenta una buona mossa verso la sicurezza MITM.

Altre opzioni menzionate sarebbero sicure di interrompere molti siti. Richiedere i cookie di flag di sicurezza per esempio (e quindi ignorare quelli senza?) Interromperebbe un sacco di siti, così come ignorerebbe i 302.

    
risposta data 01.10.2011 - 13:53
fonte
1

Se usi Firefox: installa HTTPS ovunque. Ha un elenco di siti che supportano SSL e si assicurerà che il browser si colleghi sempre a loro tramite https crittografato SSL (mai sopra http non criptato).

(Se sei veramente preoccupato per la sicurezza, potresti anche aggiungere NoScript, ma è probabile che questo sia difficile da usare per l'utente medio, quindi non lo consiglio, se questo è per uso generico ..)

Non sono così sicuro degli altri comportamenti che vuoi applicare. Sono preoccupato che possano "rompere il web": possono far sì che molti siti Web non funzionino. Potrebbe essere problematico. Se le persone scoprono che il loro browser non funziona per molti siti a cui stanno a cuore, c'è una probabilità significativa che cambieranno in un browser diverso se possono (o maledire il reparto IT, se non possono farlo). In ogni caso, indipendentemente dalla desiderabilità, non ho software preconfezionato che faccia ciò che vuoi; probabilmente dovrai creare la tua estensione.

    
risposta data 01.10.2011 - 08:59
fonte