Quanto sono sicure le autenticazioni dei certificati client SSL? [duplicare]

Question

Quanto sono sicure le autenticazioni dei certificati client SSL? [duplicare]

#1 da (1 voti)
#2 da (1 voti)

1

Per quanto ho capito, è possibile emettere certificati SSL, che potrebbero essere utilizzati dai client per l'autenticazione. Quindi, in teoria, solo gli utenti con certificati validi sarebbero in grado di accedere a un determinato servizio web.

Quindi è lecito ritenere che, se viene utilizzata l'autenticazione del certificato client SSL, le applicazioni Web potenzialmente vulnerabili e ad alto impatto potrebbero essere esposte a Internet senza il rischio di accesso da parte di persone non autorizzate?

In che modo si confronta con l'utilizzo di VPN?

authentication tls certificates web-service

posta WhatIsName 30.08.2014 - 17:51

fonte

2 risposte

Leggi altre domande sui tag authentication tls certificates web-service

L'utilizzo di KDBG nella volatilità Come disattivare il cookie x-oracle-dms-ecid

score 1 · Answer 1

Se si utilizza una VPN, è comunque necessario autenticare l'utente per stabilire la VPN. Un certificato client è un ottimo fattore di autenticazione, ma dovrebbe essere utilizzato insieme a una password in quanto vi sono diversi esempi di malware che rubano i certificati oltre ad altri modi in cui possono essere compromessi. I certificati client tendono ad avere un overhead di supporto associato quindi non pratico se si dispone di una piccola organizzazione di supporto e / o di molti utenti.

Ci sono anche molti altri modi in cui un server Web può essere compromesso come attraverso vulnerabilità, SQL Injection, ecc. (Anche se VPN o certificati riducono la probabilità in qualche modo a causa della ridotta superficie di attacco pubblica). Potresti anche prendere in considerazione qualcosa come Google Authenticator.

score 1 · Answer 2

L'autenticazione del client non impedisce attacchi cross-site contro l'applicazione web come CSRF o XSS riflessi. Impediscono solo l'accesso diretto da parte di terzi. Non importa quale tipo di autenticazione utilizzi, ovvero lo stesso per password, due fattori, certificati client o altro. Lo stesso vale per VPN.