sitio web winscp no https

3

El objetivo principal de WinSCP es proporcionar un canal seguro entre una computadora y un servidor. "Seguro" significa que existe la posibilidad de que un atacante pueda ver o modificar los bytes enviados en ambos sentidos. Supongamos que tengo claves del servidor pero no tengo instalado WinSCP (o las tengo pero quiero actualizarlas). En ese caso, voy a descargar WinSCP desde winscp.net que NO es https y, por lo tanto, las páginas web que recibo pueden ser cambiadas por un atacante capaz de modificar los bytes enviados / recibidos. La página web de descarga proporciona sumas de comprobación que también pueden ser modificadas por un atacante.

Las preguntas son:

  1. ¿Por qué los autores de WinSCP aún no implementaron https en el sitio web?

  2. ¿Qué puedo hacer para prevenir un ataque descrito?

pregunta Oleg 21.03.2015 - 13:05
fuente

3 respuestas

4

Soy el administrador del sistema responsable del alojamiento WinSCP.net. Nos hemos movido a HTTPS gradualmente. Como primera cosa, hicimos disponible una página con sumas de comprobación (probablemente ya en el momento en que escribiste la publicación original). Durante algún tiempo fue posible acceder al sitio web tanto en HTTP como en HTTPS y ahora servimos todas las páginas a través de HTTPS. Seguimos recomendando verificar la suma de comprobación después de descargar los archivos, ya que los archivos se envían desde un CDN en ciertas regiones.

    
respondido por el brablc 07.06.2017 - 18:00
fuente
2

Estoy de acuerdo en que sería bueno tener este sitio disponible por https para que el transporte del sitio al usuario esté protegido. Pero creo que uno debería poner este riesgo en relación con el riesgo que permanece incluso si el sitio tiene https:

  • ¿Cómo supiste que debes visitar winscp.net y no otro sitio como winscp.org (anuncios), winscp.com, download-winscp.net o cualquier otro sitio que pueda existir? Probablemente usaste un motor de búsqueda, pero ¿cómo supiste que puedes confiar en los resultados? Si tu alguna vez buscó descargas de Firefox y usó los primeros hits (o anuncios) que probablemente tenga algún tipo de versión "mejorada".
  • ¿Cómo sabes que el sitio no está comprometido? No sería el primer sitio importante (por ejemplo, jquery.com fue pirateado , yahoo, winzip too . No https lo protege contra un sitio comprometido.
  • ¿Cómo sabes que realmente puedes confiar en las personas que escriben este código? Puede que le haya agregado una puerta trasera.
  • y probablemente otras preguntas ...

Así que sí, tener https sería una mejora. Pero en mi opinión, sería incluso mejor si las sumas de comprobación (es decir, sha-1, sha-256 ...) se propagan lo más amplia posible para que pueda obtener las sumas de comprobación de una fuente diferente (o varias fuentes) y luego Compruebe su descarga contra él. Entonces podría detectar problemas incluso si el sitio estaba comprometido o si descargó el programa de otro sitio.

    
respondido por el Steffen Ullrich 21.03.2015 - 14:02
fuente
2
  

¿Qué puedo hacer para prevenir el ataque descrito?

Los binarios del instalador de WinSCP están firmados con Authenticode, por lo que debería poder hacer clic derecho en las propiedades del archivo .exe y verificar el firmante.

Por supuesto, deberías saber que Martin Prikryl es el autor legítimo, y deberías confiar en que Verisign se aseguró de que ese es realmente quien es, y que debes confiar en que su máquina no se vio comprometida. Pero esos son los mismos problemas que enfrenta HTTPS.

Pero sí, sería mejor si el sitio de descarga fuera HTTPS. Desafortunadamente, la distribución de software sin firma parece ser la norma (al menos en el mundo Windows). Hay casos peores (por ejemplo, descargas de PuTTY que no están firmadas ni distribuidas por HTTPS).

No he visto un proxy MitM que automáticamente ejecute troyanos EXE descargados por HTTP todavía, pero parece ser un ataque directo.

    
respondido por el bobince 21.03.2015 - 14:19
fuente

Lea otras preguntas en las etiquetas