http://news.google.com
Naturalmente, se hai già effettuato l'accesso a un account Google per quella sessione del browser, viene offerto crittografato.
Quindi, quando un utente visita la pagina di Google News non crittografata e tenendo presente che nella pagina è presente un pulsante di accesso di Google, gli utenti sono vulnerabili a un attacco MITM SSLStrip se scelgono di accedere da quella pagina?
are users vulnerable to a SSLStrip MITM attack if they choose to login from that page?
Sì e no. Gli utenti non sono più o meno vulnerabili rispetto a quando non fanno clic su un link in qualsiasi pagina non protetta.
Tutti gli accessi a Google vengono elaborati tramite accounts.google.com , che non solo ha attivato HSTS, ma ha anche la sua chiave pubblica bloccata nei browser moderni. Quindi un MITM nella pagina login non è pratico.
Detto questo, l'attaccante non userebbe accounts.google.com come dominio di phishing, userebbe qualche sito di wordpress hacker da qualche parte se la cronologia è indicativa. Pertanto, la sicurezza della pagina di accesso non può salvare tutti.
E infatti la sicurezza di news.google.com non è particolarmente rilevante se l'utente non aggiunge esplicitamente HTTPS in primo piano; fino a quando quel dominio non ha abilitato HSTS, SSLStrip può funzionare con la sua magia sporca.
Questa è una distinzione importante: il fatto che il tuo sito sia HTTPS non protegge i tuoi utenti da SSLStrip; l'intero point di SSLStrip serve a dimostrare che servire il tuo sito su HTTPS non aiuta gli utenti che arrivano a quel sito da un link non protetto.
HSTS protegge gli utenti che digitano il nome del tuo sito nel loro browser, ma anche questo non protegge tutti. Prendiamo ad esempio Facebook, che è SSL e HSTS through-and-through. Potresti dire che gli utenti di Facebook sono quindi protetti, ma un sito di phishing non userà facebook.com come URL; userà l'URL di qualunque sito l'attaccante abbia dirottato per ospitare il suo attacco. Certamente la discrepanza è visibile a chiunque controlli l'URL, ma statisticamente pochissime persone lo fanno mai.
Quindi sì, gli utenti sono vulnerabili. Gli utenti saranno sempre vulnerabili. Se hai intenzione di scaricare denaro in una soluzione per proteggere i tuoi utenti, fai questo:
Potrebbero essere salvate le password, lastpass, il dispositivo U2F di Google o qualsiasi sistema di autenticazione che rifiuta l'autenticazione tentativo se il browser non ha verificato l'autenticità della pagina di accesso.
Se fai queste 2 cose, gli utenti sono assolutamente protetti.
Il link del sito viene pubblicato tramite http. La pagina di accesso effettiva dietro al pulsante è:
<a class="gb_7c gb_ya gb_xa" id="gb_70" href="https://www.google.com/accounts/ServiceLogin?service=news&passive=1209600&continue=http://news.google.com/&followup=http://news.google.com/&hl=en" target="_top">Sign in</a>
Ma l'attacco SSLstrip non funzionerebbe esattamente. La semplice sostituzione di https con http non rende Google la pagina di accesso non crittografata. Se lo provi, ottieni la versione https come spiegato da jas - . Google può imporre l'utilizzo di TLS per qualsiasi sito Web e sicuramente lo fanno per la pagina di accesso.
Potresti avere ragione che un MITM sarebbe possibile per il sito di notizie stesso quando si accede direttamente tramite link , ma non è quello predefinito comportamento. In realtà, Google fornisce il sito tramite https per impostazione predefinita durante la navigazione del sito Web e, poiché la pagina principale di Google viene fornita anche tramite https, significa che devi salvare contro SSLstrip e MITM, in tale contesto (senza prendere in considerazione attacchi contro TLS).
Che cosa potrebbe essere fondamentale se il tuo browser non supporta le versioni TLS correnti. In questo caso, alcuni siti Web di parti potrebbero essere forniti tramite http come modalità di fallback, ma non sono sicuro se questo è il caso di Google. Certamente non succede per la pagina di accesso.
In questo caso o quando usi il link potresti creare uno scenario in cui potresti usare MITM ma non SSLstrip. Quindi un utente malintenzionato potrebbe modificare le notizie, ma non sarebbe in grado di vedere le tue credenziali.
Se nessuna impostazione è stata modificata deliberatamente, dovresti salvare.
In teoria, non è necessario per HTTPS sfogliare questo tipo di materiale ... tuttavia, sono abbastanza sicuro che Google abbia attivato HTTPS per tutte le attività di navigazione, anche non sensibili.
Per chiarire, se vai su www.google.com è effettivamente HTTPS.
are users vulnerable to a SSLStrip MITM attack if they choose to login from that page?
No. Se inizi a registrare e / o a guardare le richieste della pagina di rete, vedrai che news.google.com verificherà e il token di autenticazione a cui fa riferimento un cookie per la versione https del loro sito che non riesce a trovare perché la capacità del protocollo stateless di leggere / modifica i dati dei cookie di altri domini (in questo caso link rispetto al link ) aderisce alle restrizioni di sicurezza delle politiche di origine originale.
A quel punto viene effettuata una richiesta per la pagina di autenticazione su TLS.
Leggi altre domande sui tag google tls web-service