Cercando di ottenere una conoscenza approssimativa del livello di rischio degli accessi amministrativi CMS su http

Naviga le tue risposte
1

Perdonami per una domanda potenzialmente ovvia - e so che la risposta sicura è "Usa sempre https!" - ma sto cercando di capire quanto sia necessario usare https per chiunque acceda al back-end su CMS come Drupal, WP, ecc. Mi chiedevo se qualcuno potesse chiarire alcune cose.

  1. La mia comprensione degli attacchi man-in-the-middle è che sono relativamente un comuni su reti con misure di sicurezza di base (come reti domestiche, reti Wi-fi con password bloccate) , reti di uffici). Fondamentalmente, non ci sono punti di accesso facili tra, ad esempio, casa mia e il mio ISP, dove qualcuno può configurare un sistema per intercettare il traffico.

  2. Naturalmente, le reti wi-fi aperte offrono un facile punto di accesso per intercettare il traffico, ma anche reti di grandi dimensioni protette da password come le connessioni Internet, ecc., forniscono un altro facile punto di accesso per intercettare il traffico di chiunque altro accesso a Internet tramite la stessa rete.

Supponendo che queste due cose siano corrette, farei le seguenti detrazioni:

  1. Mi sembra che accedere a un CMS tramite http con qualsiasi tipo di account amministrativo sia generalmente sicuro (anche se forse non è una best practice) da casa e dall'ufficio, come Finché non ci sono wi-fi aperti e, naturalmente, nessun utente malintenzionato usa sistemi all'interno di detta casa o ufficio.

  2. Ciò significherebbe anche che se stai effettuando l'accesso a un CMS in una tale capacità tramite una connessione hotel, una connessione in-flight o qualcosa del genere, dovresti sempre utilizzare https. Sono abbastanza sicuro che sia ovvio, ma sto solo chiedendo di chiarire, poiché la sicurezza non è la mia specialità.

Qualcuno può dirmi se sono sostanzialmente sulla strada giusta qui, o se una delle mie intese o ipotesi sono viziate in qualche modo? Fondamentalmente, quello che sto cercando di determinare è se sia sempre sempre necessario impostare siti Web basati su CMS utilizzando https, o se il vecchio vecchio http è, in generale, abbastanza sicuro per i siti su cui gli amministratori accedi solo da reti in cui tutti gli utenti sono fidati.

    
posta rrr45 05.10.2015 - 18:20
fonte

1 risposta

1

È sempre utile disporre della crittografia su un sito Web basato su CMS. Consiglierei di utilizzare sempre HTTPS perché non si sa mai chi intercetta il traffico e quali potrebbero essere le loro intenzioni. Ad esempio, se qualcuno intercettasse il tuo traffico e eseguisse attacchi MITM; Potrebbero, rispettivamente, prendere il tuo login se decidessero di farlo e potrebbero tentare praticamente questo login con altri account di tua proprietà ecc.

Sebbene tutti gli utenti possano diventare attendibili, come implicitamente nella tua domanda, utilizzerei comunque la crittografia. Tutto può succedere. Non so se hai sentito di un exploit HTTPS chiamato "BREAK". Questo è un exploit di sicurezza su HTTPS che utilizza la compressione HTTP. Maggiori informazioni qui: link

Sei decisamente sulla strada giusta, non vedo difetti nelle tue conoscenze e stai sicuramente facendo le domande giuste per costruire la tua base.

    
risposta data 05.10.2015 - 18:42
fonte

Leggi altre domande sui tag

Rete arp (prevenire l'attacco mitm) Come verificare se l'applicazione Android è vulnerabile a heartbleed