1. Inicio
  2. Pregunta y respuesta
  3. ¿Está realizando el inicio de sesión con https, pero todo en http es un poco inútil?

¿Está realizando el inicio de sesión con https, pero todo en http es un poco inútil?

2010-01-03 11 views
7

Por lo tanto, ha realizado el inicio de sesión utilizando https para evitar el hombre en los ataques intermedios y asegúrese de que su contraseña no se envíe a la luz. Buena llamada. Pero muchos sitios luego vuelven a http para el resto de la sesión.¿Está realizando el inicio de sesión con https, pero todo en http es un poco inútil?

Una vez que está intercambiando todo a la luz, ¿no puede un hombre en el medio comenzar a secuestrar su sesión nuevamente? De acuerdo, entonces no tienen su contraseña, ¡pero no la necesitan! Mientras permanezca conectado, el hombre en el medio puede secuestrar su sesión y enviar las solicitudes que desee. ¿No pueden?

¿Qué medidas se implementan para evitar esto? ¿O no es realmente un problema debido a algo que he pasado por alto? O, ¿es solo un riesgo aceptable de tomar?

Fuente

2010-01-03 Matthew

+1

OMI, acaba de hacer todo en HTTPS. La encriptación no es una tarea cara –

+0

@Jeffrey, en un sitio muy ocupado como google, por ejemplo, la sobrecarga de SSL puede sumar mucho. La mayoría de los sitios no tendrán ese problema aunque – Glen

+0

¡hay mucha gente que estaría en desacuerdo con el hecho de que el cifrado es barato! – Matthew

Respuesta

3

Depende de lo que quiera decir con inútil. :) Tiene razón en una configuración estándar, donde está creando una sesión a través de HTTPS, y luego volviendo a HTTP, pero pasando una cookie de sesión (por ejemplo) con sus solicitudes, que el "chico en la cafetería" teórico puede de hecho, vea sus datos y/o tome acciones en su nombre.

La desventaja de usar all-SSL (HTTPS) es tradicionalmente que es costoso desde el punto de vista del computador del lado del servidor, así como incurrir en computación del lado del cliente. (Dólares y servidores para el sitio, páginas de carga más lenta para usted)

Por lo tanto, ejecutar la mayor parte de un sitio en claro ha sido tradicionalmente considerado un "riesgo aceptable" para la mayoría de los usos de la web.

Los dos riesgos a los que se enfrenta son que sus datos sean visibles para los demás y que otros puedan actuar como usted (al usar sus cookies, que pueden robar). Al diseñar un nuevo sitio, debe pensar en los riesgos relativos de ambas cosas. Tenga en cuenta que las instituciones financieras siempre publicarán todas sus páginas a través de HTTPS porque el riesgo no es aceptable: cada página contiene datos confidenciales e incluso el espionaje es malo. Gmail también ofrece una opción de suscripción para obtener HTTPS para todas las sesiones. (Facebook no lo hace, por ejemplo, ni lo hace, por ejemplo, Yahoo Mail).

Probablemente haya notado que muchos sitios que se ejecutan principalmente a través de HTTP protegerán los cambios de configuración críticos con la autenticación de contraseñas. Esta es una de las razones por las que hacen esto: incluso si el chico de la cafetería puede leer tus publicaciones de Facebook que pasan, no puede cambiar tu contraseña y bloquearte sin conocer tu contraseña actual.

Filosóficamente, creo que con el tiempo se presionará un número cada vez mayor de servicios con datos de usuarios privados para pasar (u ofrecer) todos HTTPS a medida que la gente toma conciencia de los riesgos y aumenta el uso de redes wifi públicas.

Fuente

2010-01-04 00:32:04

+0

"incurrir en el cálculo del lado del cliente" Aunque técnicamente cierto, dudo que la sobrecarga de cifrado sea diferente para el cliente. Si utiliza un sitio web, su rendimiento casi siempre está limitado por el rendimiento de la red, y dado que el rendimiento de todos los cifrados simétricos modernos es mucho mayor que incluso una red rápida, no debería haber desaceleración adicional. Un procesador moderno puede descifrar fácilmente AES a más de 50 MiB/s; Dudo que tu red sea tan rápida :-). – sleske

-1

Si su protocolo de intercambio de https incluyó el intercambio de una clave secreta, se puede evitar teóricamente que un hombre en el medio haga cualquier daño transfiriendo las consideraciones de seguridad de la capa de transporte a la capa de aplicación.

Por ejemplo, las partes pueden incluir un número de secuencia de mensaje y una firma digital con la clave compartida. Eso evitaría reproducir mensajes, alterar el mensaje existente y crear mensajes falsos.

Fuente

2010-01-03 22:38:48

+0

No veo cómo, si todo lo demás se hace sobre texto plano? – ZoFreX

+0

de acuerdo. no hay mucho que pueda hacer con una clave secreta una vez que esté de vuelta en el mundo claro de http. – Matthew

+0

Teóricamente: una vez que haya salido de las comunicaciones seguras, habrá dejado las comunicaciones seguras. – yfeldblum

-2

Podría exigir que todas las solicitudes provengan de la misma dirección IP desde la que se realizó la autenticación. Esto haría que secuestrar sea mucho más difícil, creo. Varios sitios lo hacen o tienen la opción.

Fuente

2010-01-03 23:01:50 ZoFreX

+0

un hombre en el medio podría falsificar su dirección IP. concedido, no recibiría ninguna respuesta, pero aún podía enviar sus solicitudes. – Matthew

+0

en realidad, si él realmente está "en el medio" él puede obtener las respuestas también. – SpliFF

+0

Tomé de la pregunta que el objetivo del ataque era tomar el control de la sesión, como en las acciones de ejecución, no simplemente ver lo que está sucediendo, lo cual es obviamente trivial. – ZoFreX

2

Los sitios que se preocupan tan poco por la seguridad como para no usar SSL consistentemente son probablemente inseguros de múltiples maneras. Por ejemplo, probablemente tengan el formulario de inicio de sesión entregado en una página no encriptada.El atacante puede simplemente cambiar el destino de la publicación del formulario https a un descifrado y ahora tiene su contraseña.

Una vez que estés intercambiar todo en la clara no puede un hombre en el medio comenzar el secuestro de la sesión de nuevo?

Sí.

Es como cerrar con llave la puerta de una casa sin paredes exteriores.

incluso si el tipo de la tienda de café puede leer sus mensajes de Facebook que pasaba, no puede cambiar su contraseña y bloquear a salir sin saber su contraseña actual

puede él hacerse cargo de su cookie de sesión? ¿Puede él cambiar tu dirección de correo electrónico? ¿Puede solicitar un correo electrónico de restablecimiento de contraseña? ¿Puede hacerte decir tonterías en foros públicos? Probablemente.

Sin duda puede reemplazar cada enlace https en cada página con http. Google para "SSLStrip". Lo más probable es que la víctima nunca más vaya a terminar en una página https. Entonces, cuando la víctima hace clic en el enlace "cambiar mi contraseña", el atacante obtiene las contraseñas antiguas (y nuevas) en texto claro.

  • Marsh

Fuente

2010-02-22 16:11:50

Cuestiones relacionadas

 Cuestiones relacionadas