Perché i siti Web utilizzano HTTPS quando non è necessario? [duplicare]

6

Questo mi ha infastidito per un po ', ma ho notato che alcuni siti web (il primo che viene in mente è XKCD) usano HTTPS senza una ragione apparente. Voglio dire, XKCD è gratuito e accessibile a chiunque. Perché mai avrebbero crittografato la tua sessione quando tutto ciò che stai facendo è guardare i fumetti? Sembra che la crittografia consumerebbe risorse inutilmente. Non sto chiedendo specificamente su XKCD, ma ho notato alcuni siti Web che fanno questo e mi chiedo perché lo faranno.

    
posta KnightOfNi 06.03.2014 - 23:18
fonte

3 risposte

10

Una risposta è che SSL previene / dissuade gli attacchi MITM (Man-In-The-Middle). In teoria, SSL garantisce che il messaggio sia originato da XKCD e sia arrivato a te senza essere manomesso. Un cattivo attore che può intercettare il traffico tra te e XKCD non può iniettare codice per l'esecuzione sul tuo computer.

Sulla base dei commenti, essere in grado di iniettare codice per eseguire client è abbastanza potente. Puoi raccogliere molte informazioni da questo. Inoltre, puoi forzare un browser client a parlare con pagine / siti che normalmente non farebbe.

Voglio sottolineare, tuttavia, che SSL non è al 100% in questo caso e che attacchi come sslstrip possono aggirare il fatto che SSL venga utilizzato.

    
risposta data 06.03.2014 - 23:26
fonte
4

Come diceva CtrlDot, usando TLS (SSL è il termine più vecchio, nessuno usa più SSL ma il nome è bloccato) è buono non solo per prevenire lo snooping, ma anche per prevenire attacchi MITM che possono iniettare codice dannoso. Ora, alcune persone potrebbero dire che è difficile, ma in realtà no. Puoi acquistare i "kit di exploit" dei mercati neri che sono pacchetti di aggiornamento automatico a pagamento che puoi mettere in un sito Web compromesso (o MITMed) o malevolo che eseguirà automaticamente la scansione di un target che si connette, verificherà se sono vulnerabili e quali exploit sono vulnerabili, quindi lanciano automaticamente l'exploit più efficace per prendere il controllo del computer (i kit di exploit più economici provano a gestire tutti gli exploit che hanno nella speranza che funzionino). Più costoso è il kit di exploit, più nuovi e più alti sono gli exploit che hanno. I più costosi possono avere 0 giorni che il tuo browser o antivirus non possono difendere. Quindi non dare per scontato che qualcuno dovrebbe trovare qualche raro exploit, perché è già fatto regolarmente. Per rispondere ai commenti di un altro post che dice "Così potresti essere in grado di ottenere alcuni file non protetti da un utente inesperto.Tutto il resto può essere raccolto senza il problema di un attacco attivo", la risposta è che è facile togliere i file un utente inesperto o anche un utente esperto (suggerimento suggerimento, gli utenti esperti sono più propensi a utilizzare TLS ogni volta che possono). Non devi essere un esperto e creare i tuoi 0 giorni, devi solo avere un po 'di soldi e molte persone lo fanno. E, come è già stato detto, non è sempre necessario sfruttare appieno il computer della vittima per ottenere ciò che stai cercando ...

Inoltre, anche se dice che sslstrip può bypassare TLS, in realtà questo non è molto facile da eseguire, tutto ciò che realmente fa è reindirizzarti alla versione non-https (cioè è come un'estensione "HTTPS Nowhere" remota) . Se sei vigile e il sito web utilizza correttamente TLS (non utilizza un certificato autofirmato, ecc.), Non dovrebbe essere un problema.

    
risposta data 07.03.2014 - 01:51
fonte
1

Non voglio che nessuno guardi il mio traffico ... non importa di cosa si tratta. Sono sicuro che alcuni diranno che la mia risposta non risponde alla tua domanda ma a me lo fa.

    
risposta data 06.03.2014 - 23:24
fonte

Leggi altre domande sui tag