Firebug parece estar descifrando el tráfico SSL: ¿es el comportamiento correcto?

Navega tus respuestas
28

En mi empresa estábamos escribiendo una pequeña aplicación web que se alojaría y probaría bajo el protocolo HSTS.

Uno de mis evaluadores se quejó de que el nombre de usuario y la contraseña se pueden ver en texto claro, por lo que es inseguro. Respondí que debido a la implementación de HSTS no se puede descifrar. Señalé wireshark logs y probé que está encriptado.

Mi probador señaló Firebug de su propio navegador y dijo que está mostrando un nombre de usuario y contraseña en texto claro, por lo que es inseguro.

De lo anterior, aquí están mis análisis y preguntas:

  1. Dado que HSTS habilita la seguridad cuando los datos se mueven desde el navegador al servidor web, Firebug es solo un complemento del navegador, conoce todo en el árbol DOM para que pueda ver los campos de formularios, nombres de usuario y contraseñas.

  2. ¿Es posible desactivar Firebug para identificar el árbol de dom?

  3. ¿Revelar el contenido de Firebug es realmente una vulnerabilidad? En caso afirmativo, ¿cómo puedo mitigarlo?

pregunta BlueBerry - Vignesh4303 02.11.2015 - 11:03
fuente

3 respuestas

54

Parece que hay cierta confusión sobre las protecciones que brindan las diferentes partes de su sistema.

HSTS aplica HTTPS para los usuarios que han visitado previamente el sitio a través de HTTPS, durante un período determinado. Si un usuario nunca ha visitado la versión HTTPS de un sitio, y el sitio también está disponible a través de HTTP (sin una redirección a HTTPS), no hará nada: el tráfico no estará cifrado.

Firebug accede a los datos después del descifrado, es una herramienta de depuración. Si el navegador puede verlo en claro, Firebug puede verlo en claro. Esto no es una vulnerabilidad, a menos que el sitio web envíe datos que no deben enviarse (por ejemplo, contraseñas del servidor), en cuyo caso la vulnerabilidad está en el sitio web, no en Firebug.

Si está enviando contraseñas desde el servidor al cliente, tiene un problema, esto nunca debe ser requerido. Las contraseñas deben considerarse como una cosa de una sola manera: los usuarios las escriben y se verifican en el lado del servidor. Esto minimiza la posibilidad de que se descubran contraseñas sin un mayor compromiso del servidor.

    
respondido por el Matthew 02.11.2015 - 11:31
fuente
22

No Firebug no descifra el tráfico SSL.

Firebug solo recuerda un detalle clave: una conexión SSL proporciona una protección contra las escuchas ilegales en la ruta de conexión . SSL debe verse como un túnel encriptado (VPN es otro), pero en ambos extremos del túnel, todo está a la vista: en claro .

Firebug no es una vulnerabilidad en absoluto.

    
respondido por el daniel Azuelos 02.11.2015 - 11:26
fuente
6
  1. Firebug puede acceder a todo lo que el navegador puede acceder, por lo que puede acceder al nombre de usuario y la contraseña, al igual que el administrador de contraseñas integrado, o los administradores de contraseñas como Lastpass.
  2. no No es posible deshabilitar a Firebug para que no use el árbol DOM, excepto cuando deshabilita Firebug. Como dice OrangeDog, el bloqueo de complementos no ayudará, ya que Firefox tiene un depurador incorporado que puede hacer lo mismo.
  3. no Revelar el contenido de Firebug no es una vulnerabilidad.
respondido por el SPRBRN 02.11.2015 - 11:09
fuente

Lea otras preguntas en las etiquetas

¿Cómo se llama este método / enfoque de autenticación? Cuando un administrador del sistema deja ¿qué precauciones adicionales deben tomarse?