¿El sitio web de mi banco es seguro si usa HTTPS parcial?

Navega tus respuestas
3

Mi (no tan pequeño) banco tiene un sitio web para realizar transacciones a través de Internet, y tiene un sitio web HTTPS para ello. Pero mi Firefox 29 escribió que el sitio web está parcialmente encriptado. Hice una pequeña búsqueda con Wireshark y descubrí que solo hay un elemento que usa HTTP (y no HTTPS): 

<script type="text/javascript" src="/static/portal/impl/j/jwplayer.js" charset="utf-8">

y este archivo .js utiliza / descarga a través de HTTP (puedo verlo en el archivo: caché): 

http://l.longtailvideo.com/download/5/10/logo.png

Entonces, si quiero iniciar sesión en el sitio web de mi banco para enviar dinero a alguien, tengo que usar un sitio web que está parcialmente encriptado debido a ese archivo .png.

Mi pregunta: ¿No es esto peligroso? Si hay un elemento en el sitio web de HTTPS que se descarga a través de HTTP, entonces es posible hacer "cosas malas", ¿no? Por ejemplo, ¿alguien de mi LAN puede reemplazar ese archivo .png con un javascript o alguna otra cosa maliciosa?

    
pregunta user45818 01.05.2014 - 20:10
fuente

2 respuestas

3

La descarga no SSL incurre en el riesgo teórico (y también práctico) de ser interceptado por un atacante activo, que hará "algo más" con él.

Javascript, por sí mismo, no puede hacer descargas desde fuera de su propio dominio; ese es el punto de la Política del mismo origen . Dado que el Javascript se carga desde el dominio del banco ( foo.com ) pero la descarga es desde l.longtailvideo.com , entonces se debe asumir que el Javascript le dio instrucciones al navegador para hacer la descarga, probablemente insertando un Etiqueta <img> en la página HTML.

En general, los navegadores están bastante bien protegidos contra imágenes maliciosas; de lo contrario, lo hackearían cuando realice búsquedas en Google o acceda a varios foros, porque en muchos foros se pueden incrustar enlaces a imágenes externas.

En su caso, la imagen es el logotipo de un reproductor de video en Javascript / Flash (dependiendo de lo que pueda hacer el navegador); Creo que es esta , aunque quizás sea una versión anterior porque su logotipo parece haber cambiado. Esta publicación del blog indirectamente nos dice que el jugador con el logotipo que observa es la "última versión" hace más de dos años.

¿Qué es lo peor que podría pasar? Supongo que el logotipo se muestra en algún lugar de la página. Un atacante laborioso podría reemplazar el contenido del logotipo con una imagen propia, posiblemente una imagen más grande que interrumpiría el diseño de la página.

Sin embargo, hay cosas peores. El atacante podría devolver un "redireccionamiento" HTTP para que su navegador envíe una solicitud GET a cualquier otra URL arbitraria. Probablemente encuentre esta pregunta pasada : discute lo que podría pasar con una etiqueta <img> apuntando a un servidor controlado por el atacante. Eso se aplica a su caso.

De todos modos , el mero hecho de que su navegador le advierta es algo malo: o la advertencia es importante, y esa es una alerta de seguridad que debe tratarse como tal; o la advertencia es falsa, y entrena al usuario para que ignore las advertencias de seguridad, lo que no es bueno a largo plazo.

    
respondido por el Tom Leek 01.05.2014 - 20:38
fuente
1

Sí, es peligroso. HTTPS proporciona cifrado de extremo a extremo, por ejemplo, protege contra un hombre en el medio olfateando o peor manipulando los datos. Considere el caso en el que un recurso javascript se carga solo a través de HTTP y el atacante puede reemplazarlo con otra cosa: por lo tanto, el atacante podría burlar cualquier protección de seguridad que tenga el sitio web simplemente leyendo y escribiendo el contenido existente.

Para proteger al usuario contra este caso, la mayoría de los navegadores modernos resuelven estos sitios rotos rechazando los recursos solo de HTTP en los sitios HTTPS, pero los más antiguos no.

Aparte de eso, es mejor que te preguntes si aún confías en un banco para mantener la seguridad necesaria para la banca en línea si no lo hacen correctamente.

    
respondido por el Steffen Ullrich 01.05.2014 - 20:37
fuente

Lea otras preguntas en las etiquetas

¿Cómo arreglar este protocolo criptográfico roto? Revisión de Código OpenSSL