¿Cómo proteger los datos de inicio de sesión contra MitM con HTTPS habilitado?

5

Incluso después de habilitar HTTPS, el usuario no está completamente seguro con respecto a los ataques MitM, porque existe la posibilidad de que haya un almacén de certificados raíz comprometido. Así que, por supuesto, puede utilizar la fijación de certificados para aplicaciones móviles. Pero, ¿hay opciones adicionales para transferir de forma segura los datos de inicio de sesión / datos críticos?

    
pregunta Malte 30.12.2016 - 01:48
fuente

4 respuestas

2
  

... porque existe la posibilidad de un almacén de certificados raíz comprometido.

Usted asume efectivamente que el atacante puede comprometer el sistema donde se está ejecutando el cliente. En este caso es imposible proteger al cliente. Mientras que la fijación de certificados se puede usar para proteger contra un almacén de confianza modificado, el atacante todavía puede modificar el propio cliente y así obtener los datos sin cifrar. Ejemplos de esto son las extensiones de navegador que tienen acceso a los datos sin formato, pero también se puede hacer reemplazando la biblioteca TLS vinculada a la aplicación cliente o modificando la aplicación cliente en sí.

Como sugiere su nombre: un hombre en el ataque central solo se trata de un hombre en el medio y no de un hombre en el cliente. TLS implementado correctamente protege contra el hombre en el medio, pero no puede proteger contra un cliente o servidor comprometido como en su caso. Y no hay manera de proteger completamente los datos si el cliente o el servidor ya están comprometidos.

    
respondido por el Steffen Ullrich 30.12.2016 - 08:54
fuente
0

Puede utilizar una VPN, por lo que el servidor VPN realiza la solicitud al servidor a través de HTTPS, una vez que se haya conectado a la VPN. Por supuesto, esto significa que debe asegurarse de que el servidor VPN esté seguro.

    
respondido por el Cyrus Roshan 30.12.2016 - 03:07
fuente
0

El enfoque es obtener el certificado como en el contexto de ejecución del cliente y luego compararlo con su certificado original. Este es el mismo enfoque de fijación de certificados si está desarrollando una aplicación. Si lo desea para el navegador web, puede desarrollar un objeto flash para hacer lo mismo o usar el proyecto Forge: enlace

    
respondido por el Opaida 30.12.2016 - 07:29
fuente
-1

¿Cuál es el tipo de aplicación que está utilizando (aplicación web / servicio web)?

Si el cliente no es navegador, se puede implementar una capa adicional de cifrado sobre TLS (como la seguridad de mensajes en WCF).

También puede implementar el anclaje de certificados para aplicaciones personalizadas.

    
respondido por el Prakash P 30.12.2016 - 05:53
fuente

Lea otras preguntas en las etiquetas