SSL e strategia per impedire che venga rivelato l'URL di destinazione

0

Cercando su Google come "sniffare / spiare le comunicazioni sicure SSL" si trovano molti riferimenti per essere in grado di fare alcune buone ipotesi sulla "destinazione target" una volta che la lunghezza del percorso è nota / indovinata.

  1. Sarebbe di grande aiuto se si rendesse la lunghezza (in termini di numero di caratteri) insolitamente lunga, cosa abbastanza facile da fare, in modo che questa "lunghezza" dell'URL non ricada nei soliti schemi ?

  2. Supponiamo che un'applicazione PHP si trovi su "server1.com" e passi da lì (è lì che si avvia uno sniffer) una chiamata API via SSL a "server2.com". "server2.com" non farebbe altro che prendere quella chiamata e "tradurla" per chiamare "server 3.com" (anche SSL protetto) come destinatario finale ... I server 1,2 e 3 sono con diversi ISP e in diverse aree geografiche.

Ciò renderebbe molto più difficile tracciare dove si trova la richiesta (e la risposta ritorna, supponendo che il ritorno seguisse la direzione opposta)?

Grazie

PS: ti sto chiedendo come stiamo discutendo internamente che (solo) un aspetto della "sicurezza" è di limitare "l'ammontare degli avversari" e la qualità delle informazioni che ha sul tuo sistema, che è molto più facile da valutare una volta che sa dove il tuo sistema è seduto URLwise, da qui la nostra discussione in corso sulle strategie adatte per oscurare la "destinazione target" per la chiamata API in modo che questa destinazione sia molto meno "indagata" sui suoi sistemi per identificare le sue debolezze (che ovviamente sono sempre esistono, in misura maggiore o minore)

    
posta user1402897 04.11.2013 - 12:14
fonte

1 risposta

1

Stai pensando a un proxy inverso . Il target di submission non è il target effettivo ma un proxy che trasmette i dati al target effettivo. Non vedo il punto di tale strategia da un punto di vista della sicurezza di voi. La sicurezza del tuo sistema non deve basarsi su di essa essere oscura o nascosta, deve essere una proprietà intrinseca del sistema stesso. Il problema è che stai esaminando questo da un angolo sbagliato; questo non ha nulla a che fare con le vulnerabilità in SSL / TLS.

Anche se CRIME and BREACH non è mai esistito e nessun segreto nelle sessioni SSL / TLS era possibile rivelare, basta che qualcuno usi la propria applicazione per rivelare il server di destinazione dell'invio. In realtà, non hanno bisogno di farlo, possono semplicemente guardare il traffico per vedere dove sta andando. SSL / TLS non nasconde l'indirizzo IP di destinazione e la maggior parte delle query DNS viene inviata in chiaro.

Questo è solo uno strato di oscurità che dovrebbe essere discusso dopo la sicurezza sottostante è stata accuratamente valutata.

    
risposta data 04.11.2013 - 13:12
fonte

Leggi altre domande sui tag