¿Es posible asegurar una aplicación web sin HTTPS? [duplicar]

2

Piense en una aplicación web típica donde los usuarios inician sesión y luego la sesión se mantiene con una clave de sesión. ¿Es posible protegerlo de todo tipo de ataques basados en sniffing sin HTTPS o su equivalente?

Digamos que no me preocupa la transferencia de datos, solo la contraseña o el robo de sesión.

    
pregunta Konrad Garus 30.06.2011 - 14:41
fuente

1 respuesta

9

No.

Incluso suponiendo que solo se refiera a la pérdida de contraseñas de usuario y / o identificadores de sesión (por cierto, "seguro" incluye mucho más que eso) ...

Simplemente no hay una forma segura de enviar una contraseña de usuario a través de Internet de manera clara, sin el beneficio de un protocolo de cifrado adecuado. Sin utilizar TLS / SSL, se vería obligado a implementar esto usted mismo, lo que, en el mejor de los casos, sería inseguro.

Del mismo modo, el identificador de sesión del usuario estaría igualmente expuesto, si no estuviera restringido a HTTPS solamente.

Dicho esto, lo anterior supone un sitio web en la Internet pública.
Hay otras situaciones en las que puede protegerse sin TLS / SSL:

  • sitio web interno (por ejemplo, corporativo), que está protegido mediante IPsec .
  • Un sitio web local, en la misma máquina desde la que navega el usuario, accesible solo a través de la interfaz de bucle de retorno (y depende de la máquina que esté utilizando un solo usuario, no por ejemplo, un servidor de terminal compartido).
respondido por el AviD 30.06.2011 - 14:52
fuente

Lea otras preguntas en las etiquetas