Prevenzione attacchi strip SSL

0

È possibile rilevare un attacco striscia SSL controllando se la pagina consegnata è HTTPS o HTTP utilizzando JavaScript? Suppongo che la pagina di risposta sia la pagina HTTPS anziché HTTP?

    
posta faraz khan 22.05.2015 - 13:38
fonte

3 risposte

1

Potresti voler impostare il tuo server web su HSTS (Strict Transport Security) che utilizza un'intestazione di risposta speciale per dire al browser di accettare solo il traffico https. Full Disclosure: Come ci si potrebbe aspettare, supporto IE < 11 Credo sia limitato. Se devi usare qualcosa sul lato client per verificare la presenza di https, penso che potresti usare window.location.protocol.

    
risposta data 22.05.2015 - 15:28
fonte
0

Potresti provare quanto segue:

  • Crea un cookie con Javascript. Imposta il flag di sicurezza sul cookie, in modo che sia utilizzabile solo per le connessioni https.
  • Effettua una richiesta https al server e controlla se è stato ricevuto il cookie sicuro. Se non è stato ricevuto, puoi supporre che la richiesta sul lato client non sia stata eseguita con https, ad esempio qualcosa di simile a sslstrip era attivo.
risposta data 22.05.2015 - 14:19
fonte
0

Puoi usare window.location.protocol per verificare quale protocollo è in uso. Ma l'autore dell'attacco può consegnare la pagina senza questo tag, quindi è necessario verificare la presenza di questo script nella pagina. Personalmente, userei HSTS per eliminare questo tipo di attacco, non controllando il protocollo.

    
risposta data 21.06.2015 - 16:45
fonte

Leggi altre domande sui tag