Quanto è sicura questa pagina di accesso? [chiuso]

-1

Purtroppo non posso collegarmi alla pagina (è interna). Ma posso descriverlo!

Questa è una pagina di accesso all'applicazione della politica dei sistemi Lightspeed (filtro del contenuto).

La pagina è http e non ci sono iframe con ssl. Il modulo di accesso pubblica una funzione javascript.

Quindi ecco la mia domanda:

Questa pagina potrebbe essere sicura e, in caso affermativo, come?

    
posta November 19.09.2012 - 22:39
fonte

4 risposte

3

No. Se la pagina e gli script non sono stati consegnati in modo sicuro in primo luogo, c'è sempre la possibilità che una terza parte abbia modificato il contenuto. La protezione dell'iframe non è sufficiente, dal momento che il contenuto non protetto potrebbe contenere ancora script dannosi.

Nota che questo non significa che le tue informazioni saranno compromesse se usi questo login, solo che la possibilità è lì.

    
risposta data 19.09.2012 - 22:47
fonte
2

Risposta breve: no, puoi sostituire il javascript usando un attacco MITM con qualunque codice tu voglia.

    
risposta data 19.09.2012 - 22:51
fonte
1

In definitiva no.

Anche se molti ciarlatani direbbero se postano a un URL SSL, allora potrebbe essere sicuro, questo è completamente sbagliato:

  1. L'utente non sa che fa questo e per scoprirlo richiede un po 'di abilità.
  2. Un utente attivo nel mezzo può modificare la pagina e / o il codice JavaScript in un post non più lungo in un URL sicuro abbastanza facilmente.
  3. La crittografia JavaScript è una situazione che non può nemmeno iniziare ad essere protetta per gli stessi motivi.
  4. Se anche le altre pagine non vengono crittografate dopo l'accesso, non può avere il bit sicuro impostato sul cookie e pertanto è vulnerabile al dirottamento di sessione.
risposta data 19.09.2012 - 22:47
fonte
1

Una pagina senza TLS (ovvero SSL) non è sicura contro gli intercettatori o gli attacchi Man-in-the-Middle. Non darei loro alcuna informazione che voglio mantenere segrete come carte di credito o password che non voglio cadere nelle mani di un aggressore. Tuttavia dirò di usare password stupide per gli account che non mi preoccupo di cadere nelle mani di un utente malintenzionato (come un account gratuito per leggere articoli di Washington Post).

Certo che non significa che qualsiasi utente sulla rete possa sempre banalmente ascoltare o lanciare un attacco MitM. Ad esempio, la maggior parte delle LAN sono configurate in una topologia di rete a stella, il che significa che, a meno che tu non abbia accesso allo switch centrale (in genere solo amministratori o persone che lavorano su un ISP), non è facile origliare.

Certo, il wifi non criptato è diverso e rende facile origliare. Anche wifi con uno schema di sicurezza rotto come WEP o dove si conosce la chiave pre-condivisa e si osserva l'handshake WPA che genera la chiave transitoria pairwise.

    
risposta data 19.09.2012 - 23:11
fonte

Leggi altre domande sui tag