sslstrip vs. privoxy redirect regla en los clientes

Esto no funcionará muy bien. Si lo intenta, probablemente encontrará que no puede navegar por la mayoría de los sitios, ya que la mayoría de los sitios no ofrecen su sitio a través de SSL (https :).

La forma correcta de defenderse: instale la HTTPS Everywhere para Firefox . Cada vez que visite un sitio web que admita https, HTTPS Everywhere redirigirá automáticamente su navegador para usar la versión https . ¡Es genial! Lo uso y lo recomiendo altamente.

Importante advertencia: seguirá siendo vulnerable a los ataques de estilo sslstrip / Firesheep cuando navegue por sitios que no admiten https. No hay mucho que puedas hacer al respecto, excepto pedir a esos sitios que admitan https o evitar el uso de redes inalámbricas sin cifrar. (O bien, compre un servicio VPN cifrado seguro para enrutar todas sus comunicaciones a través de: pero eso es inconveniente y costoso).

Sí, este conjunto de reglas Privoxy evitará solo un simple ataque SSLStrip. Pero no puede evitar contra todos los ataques. Recientemente, se comprometió una autoridad de certificación con el nombre DigiNotar . DigiNotar sabía que habían sido comprendidos pero no notificó al público lo que llevó a Mozilla los eliminó como un CA de confianza . Este pirata informático ha reclamado para comprometer 4 otras CAs . Estos certificados falsificados se han utilizados en Irán para MITM Gmail y Facebook.

El autor de SSLStrip, Moxie Marlenspike, pudo usarlo junto con otros ataques, como el envenenamiento de bytes nulos, para producir certificados falsificados. Este ataque se trató en Más trucos para derrotar a SSL .

En ambos casos, HTTPS Everywhere y Privoxy caen en los mismos problemas. El certificado parece ser absolutamente válido desde la perspectiva del navegador .

En 2011, Moxie Marlenspike dio la charla El futuro de la autenticidad . En esta charla, detalla por qué Convergence puede resolver estos problemas. Si se encuentra en Irán o China y le preocupa que su ISP patrocinado por su estado realice ataques MITM contra usted con certificados falsificados, puede usar Convergence para detectar este ataque. Sin embargo, para poder acceder al sitio web de forma segura, debe utilizar The Tor Project .

Las otras 2 respuestas son excelentes, pero pensé que también lanzaría este registro al fuego:

Si estás en el trabajo (o en cualquier lugar donde estés usando una computadora que no esté 100% bajo tu control), no deberías asumir ninguna seguridad, incluso cuando usas SSL.

Conozco muchas organizaciones grandes que distribuyen sus propios certificados raíz y tienen un dispositivo de intercepción SSL en su red. Estos dispositivos pueden MITM su tráfico SSL al generar un certificado falso sobre la marcha y firmarlo con su propia raíz. Estas organizaciones instalan el certificado raíz en todos sus equipos, por lo que si está usando una computadora portátil de la empresa, por ejemplo, ya confía en esta raíz.

Si eres particularmente cínico, puedes creer que las CA grandes y las CA patrocinadas por el gobierno (como el ministerio de información de China) están ofreciendo certificados falsos a las autoridades policiales, a la inteligencia y / o al ejército para este propósito.

La única forma de evitar este tipo de rastreo de SSL es ser delicado con respecto a las CA en las que confía (he eliminado muchas CA en mi computadora portátil personal) y usar un complemento de seguimiento de certificados como el Certificado Patrulla. La Patrulla de certificados hará un seguimiento de los certificados que haya visto en el pasado (un tipo de política de primera confianza) y le notificará si un certificado cambia inesperadamente.