it-swarm-tr.com

HTTP'den HTTPS'ye yayın göndermek kötü bir uygulama mı?

SSL'nin, web sitesinin kimliğine ve meşruiyetine ilişkin güvence sağlamak için verileri şifrelemeye ve hizmet ettiği varsayımı üzerinde çalışmak, HTTPS'ye gönderilse bile HTTP üzerinden istenen bir sayfada oturum açma formundan kaçınılmalıdır?

Soru, Kim kötü şifre uygulamaları kimdir ve kimlik doğrulamasından önce tarayıcıda temsil edilen sertifikayı görünür bir şekilde görmemenizi öneren formun gerçekten güvenli bir şekilde gönderilmesi durumunda iyi olduğunu gösteren bir yazı ile ilgilidir. .

Benim fikrime göre, bu kimlik bilgilerini satmadan önce sadece sitenin meşruiyetini doğrulama yeteneğini kaybetmekle kalmaz, aynı zamanda bunun is HTTPS üzerinden yayınlama. Twitter ve Facebook'un beğenilerinin bu yaklaşımı benimsediğinin farkındayım, ama öyle mi? Burada bir şeye bakmıyor muyum yoksa bu caydırılması gereken bir uygulama mı?

Güncelleme: Bu sorunun sonucunu ve blog gönderisinde sonraki tartışmayı detaylandırdım SSL şifreleme ile ilgili değil

64
Troy Hunt

OWASP şunları ifade eder:

(kelimeden --- aynen kopyalandı http://www.owasp.org/index.php/SSL_Best_Practices )

Güvenli Giriş Sayfaları
Bir giriş sayfasını güvenli bir şekilde tasarlamak için birkaç önemli husus vardır. Aşağıdaki metin SSL ile ilgili hususları ele alacaktır.

Girişler SSL Sayfasına Mesaj Göndermelidir Bu oldukça açıktır. Kullanıcı adı ve şifre bir SSL bağlantısı üzerinden gönderilmelidir. Formun eylem öğesine bakarsanız, https olmalıdır.

Giriş Açılış Sayfası SSL Kullanmalıdır Kullanıcının formu doldurduğu gerçek sayfa bir HTTPS sayfası olmalıdır. Değilse, bir saldırgan kullanıcıya gönderilirken sayfayı değiştirebilir ve form gönderme konumunu değiştirebilir veya yazılırken kullanıcı adını/şifreyi çalan JavaScript'i ekleyebilir.

SSL Hatası veya Uyarı Mesajı olmamalıdır Herhangi bir SSL uyarı mesajının varlığı bir hatadır. Bu hata mesajlarından bazıları meşru güvenlik endişeleridir; diğerleri, körü körüne kabul et'i tıkladıkları için kullanıcıları gerçek güvenlik endişelerine karşı duyarsızlaştırır. Herhangi bir SSL hata mesajının varlığı kabul edilemez - www için alan adı uyuşmazlığı bile.

HTTP bağlantıları kesilmelidir Bir kullanıcı giriş sayfasının HTTP sürümüne bağlanmaya çalışırsa, bağlantı reddedilmelidir. Bir strateji HTTP bağlantılarını otomatik olarak HTTPS bağlantılarına yönlendirmektir. Bu, kullanıcıyı güvenli sayfaya götürürse de kalıcı bir risk vardır. Orta saldırıda bir adam yapan bir saldırgan, HTTP yönlendirme yanıtını kesebilir ve kullanıcıyı alternatif bir sayfaya gönderebilir.

Tekrarlamak için: Giriş Açılış Sayfası SSL Kullanmalıdır

58
Tate Hansen

OWASP en iyi uygulamalarının tam olarak ne belirttiğini yapmak için otomatik araçlar olduğunu eklemeye değer olabilir: "bir saldırgan kullanıcıya gönderildikçe sayfayı değiştirebilir ve form gönderme konumunu değiştirebilir ... "Bağlantıda saldırı hakkında bir Siyah Şapka sunumu var.

13
PulpSpy

Zaten verilen cevaplara eklemek için. HTTPS olmayan açılış sayfalarına sahip olmanın, saldırganların siteyi değiştirmesine ve kullanıcıların kimlik bilgilerini almasına izin verdiği pratik durumlar olmuştur. Bu örnek , en son gördüğüm. Bu durumda ISS düzeyinde yapıldı, ancak aynı şekilde kablosuz hotspot sağlayıcıları veya Ortadaki Man-Man saldırısı gerçekleştirmek için ilgili araçları kullanan herkes tarafından da yapılabilir.

10
Rory McCune