TLS / SSL e trasmissione password

0

Mi sto ancora confondendo con argomenti di sicurezza. Al momento i vantaggi e gli svantaggi di alcuni dei metodi di autenticazione non sono ancora chiari. In base a Scheda Cheat dell'autenticazione OWASP , la password deve essere trasmessa solo su tls a causa della seguente dichiarazione:

"Failure to utilize TLS for the login landing page allows an attacker to modify the login form Action".

La mia prima domanda è: se la dichiarazione sopra è automaticamente implicita ogni volta che la password non viene trasmessa su TLS / SSL. Perché normalmente nessun TLS / SSL significa che non c'è riservatezza, integrità e protezione di riproduzione per questa password, ma non capisco che cosa debba fare il modulo Azione con esso. una parte dal fatto che esiste la possibilità di visualizzare la password in alcuni punti.

La mia seconda domanda è: è in pratica possibile che un utente malintenzionato manipoli il modulo di accesso? come può l'attaccante manipolare il modulo di accesso se non ha accesso ai dati del server ..? perché ad esempio se l'intera pagina è programmata in php, come potrebbe farlo l'attaccante. Puoi farmi un esempio. Spero di essere più precisi.

    
posta user4237435 10.12.2014 - 04:47
fonte

1 risposta

0

Hai ragione: la mancanza di TLS è un problema molto più grande della semplice modifica dell'azione del modulo di accesso. Dai un'occhiata al paragrafo completo dal link che hai fornito:

The login page and all subsequent authenticated pages must be exclusively accessed over TLS. The initial login page, referred to as the "login landing page", must be served over TLS. Failure to utilize TLS for the login landing page allows an attacker to modify the login form action, causing the user's credentials to be posted to an arbitrary location. Failure to utilize TLS for authenticated pages after the login enables an attacker to view the unencrypted session ID and compromise the user's authenticated session

Come @ user2313067 sottolinea, OWASP sta fornendo un comune equivoco errato "che impostando https nell'azione del formon una pagina http, non si ha alcuna garanzia che il client lo riceverà non modificato e potrebbe puntare a una pagina il controllo dell'attaccante. L'inserimento di https nelle pagine successive ma non nel modulo di accesso protegge solo dagli attacchi passivi "

carichi utili che un utente malintenzionato potrebbe consegnare perché non c'era TLS.

Specificamente per rispondere alle tue domande:

  1. Sì, la password è esposta se non si utilizza TLS.
  2. Il traffico Internet non è garantito per seguire una particolare rotta su Internet - un pacchetto può andare in un modo e il prossimo pacchetto può passare attraverso reti completamente diverse. La modifica dell'azione modulo evita il rischio che la password della vittima vada su una rete diversa e l'utente malintenzionato non sarà in grado di intercettarlo. Naturalmente, questo non è necessario per capire perché la crittografia mancante è importante o le basi di come funziona l'intercettazione del traffico di rete; aggiunge complessità alla particolare discussione in questione senza necessità. Potrebbe essere discusso meglio su una pagina diversa. Ma OWASP è gratuito, guidato da volontari, e non sembra applicare rigorosamente un'organizzazione reale a quale contenuto va su quale pagina.
  3. Sì. Se il traffico di rete non è crittografato con crittografia avanzata, può essere modificato in volo. Ci sono due modi principali per farlo. Innanzitutto, l'utente malintenzionato trasmette la connessione al server dell'utente. Stai parlando con l'attaccante. L'attaccante può inviarti tutto ciò che desidera. In secondo luogo, l'utente malintenzionato vede la risposta dal server mentre viaggia in chiaro sulla rete e la sostituisce con la propria risposta. Il tuo computer non è in grado di distinguere tra la risposta valida e la risposta malevola, quindi si fida solo della prima risposta ricevuta. L'attaccante paga i trucchi per assicurarsi che la sua risposta sia ricevuta per prima e ottieni la (parte della) pagina restituita dall'attaccante non dal server.
risposta data 10.12.2014 - 05:08
fonte

Leggi altre domande sui tag