Ho notato molti siti Web che implementano HTTPS per modifiche alle informazioni sull'account anche se l'utente ha già effettuato l'accesso tramite HTTPS e monitorato da SESSION.
È davvero necessario?
Ho notato molti siti Web che implementano HTTPS per modifiche alle informazioni sull'account anche se l'utente ha già effettuato l'accesso tramite HTTPS e monitorato da SESSION.
È davvero necessario?
In effetti, qualsiasi sito che utilizza una combinazione di HTTP e HTTPS sarà vulnerabile agli attacchi man-in-the-middle e la maggior parte sarà vulnerabile anche agli attacchi di tipo Firesheep che catturano il cookie di sessione da intercettazioni su HTTP collegamento.
Non è sufficiente utilizzare HTTPS solo per il login e le modifiche alle informazioni sull'account. I siti devono utilizzare HTTPS per tutto, se vogliono essere protetti dagli attacchi man-in-the-middle (ad es., Se vogliono essere sicuri per gli utenti che si connettono tramite Wifi aperto).
Vedi le seguenti domande su questo sito: Quali sono i pro e i contro dell'SSL del sito (https)? , Quando i cookie di sessione HTTP sono a rischio tramite Wi-Fi? e Quali siti sono ancora vulnerabili a FireSheep? .
Sì, è necessario. Se stai inviando dati tramite HTTP, i tuoi dati saranno in testo normale e possono essere letti. Inviando i dati tramite HTTPS, garantisci che il canale dati sia crittografato.
In realtà tutte le comunicazioni dovrebbero essere fatte sul canale HTTPS. L'utilizzo di HTTPS solo per l'autenticazione è una cattiva idea. Dopo aver creato l'ID di sessione di autenticazione che può essere utilizzato per rappresentare l'utente connesso.
Perché ti aspetti che in caso di attacco man-in-the-middle il log in fallirebbe? Fallirebbe solo se l'utente avesse notato un certificato errato, ma in questo caso non è importante. Se la modifica della password non richiede HTTPS, l'attaccante non ha bisogno di effettuare un attacco man-in-the-middle. Basta che lui ascolti la comunicazione. Non sarà in grado di vedere il nome utente e la password durante l'autenticazione, ma vedrà una nuova password quando l'utente la modifica. Il nome utente verrà probabilmente visualizzato da qualche parte nelle pagine, quindi l'utente malintenzionato riceverà sia nome utente sia password semplicemente ascoltando. Non c'è bisogno di attacchi attivi come man-in-the-middle.
Alcune informazioni aggiuntive su HTTPS possono essere trovate in Scheda Cheat Sheet Transport Transport
Leggi altre domande sui tag web-application tls session-management