¿Es seguro que un sitio sirva la página de inicio de sesión con HTTP, pero tiene el sitio real en HTTPS? [duplicar]

Especialmente en una página de inicio de sesión, la página completa debe ser https. Hacer de todas las páginas la página de inicio de sesión http y colocar https debajo de un botón es una mala práctica en mi libro.

Esto hace que sea mucho más fácil realizar ataques de tiras MiTM / SSL al reemplazar la acción https debajo del botón con un simple enlace http y nadie puede decirlo a menos que inspeccionen la fuente (ya que los botones no muestran el enlace que son refiriéndose a los enlaces regulares en el contenido). E incluso cuando se inspecciona la fuente, ya que algunos navegadores vuelven a cargar la página cuando muestran la fuente, no hay certeza.

Me alegra escuchar las razones que contradicen esto, pero no veo por qué una página de inicio de sesión SIEMPRE debe ser http a propósito cuando el resto del sitio es https que no sea un desarrollo inseguro del sitio.

  

Parece que el uso de SSL después de ingresar la contraseña no tiene sentido, ya que un atacante ya puede interceptar la conexión y obtener los detalles de inicio de sesión.

No, las credenciales en sí se transferirían de forma segura. Antes su navegador envía cualquier cosa que se establezca una conexión SSL / TLS, que luego se utiliza para los datos de la aplicación real. Sin embargo, tenga en cuenta que esto es solo verdadero en caso de que no haya un hombre activo en el medio manipulando el sitio o el formulario de inicio de sesión.

Sin embargo, no creo que haya razones de peso en este día y edad para no cifrar todo . Esto tiene un par de ventajas sobre cualquier tipo de enfoque mixto.

En primer lugar, es mucho más difícil arruinar las cosas. Ha habido suficientes ejemplos en el pasado, donde el inicio de sesión fue seguro, pero la cookie de sesión para intance, no fue . Firesheep fue famoso explotando esto para secuestrar sesiones y muchos de los grandes jugadores fueron vulnerables a este tipo de ataque.

Otro ataque común son ataques de desmonte . Puede muy bien servir todos sus enlaces a través de una conexión segura, pero un hombre en el centro básicamente puede intentar reemplazar cada aparición de https con http . sslstrip es una herramienta que lo hace automáticamente sobre la marcha y depende de la configuración de su servidor para bloquear estas solicitudes.

Además, puede hacer uso de HTTP Strict Transport Security cuando sirva su contenido a través de SSL / TLS solamente. Esto asegura absolutamente que los navegadores ni siquiera se molestarán en intentar conectarse a su servicio sin establecer una conexión segura en primer lugar.

Otra cosa importante a tener en cuenta es que no puedes estar seguro de que el sitio no haya sido manipulado por un hombre activo en el medio . Obviamente, una entidad de este tipo podría manipular el formulario de forma que su navegador enviara sus credenciales sin cifrar o en algún lugar completamente diferente , haciendo que todo su esquema de autenticación sea inútil.

Sin embargo, hay otro punto, que al menos en mi opinión es el más importante . Al ofrecer su servicio exclusivamente a través de SSL / TLS, está asegurando efectivamente la privacidad de sus usuarios hasta cierto punto. Esto es algo que Edward Snowden ha mencionado recientemente en su charla TED . Dio el ejemplo de que no se puede comprar un libro de Amazon sin que el gobierno lo sepa, porque Amazon está sirviendo a la mayoría de sus sitios a través de HTTP simple y solo usa HTTPS para el pago en sí. Esto es cierto para la mayoría de los sitios, y es una pena, porque básicamente significa que los gobiernos de este mundo siempre saben lo que estás haciendo.

Hace tiempo, se argumentó que el rendimiento es un problema, que fue el argumento más prevaleciente contra el uso exclusivo de SSL. Ya no creo que esto sea cierto . En estos días es relativamente barato obtener un rendimiento extra y SSL / TLS están optimizados de tal manera que las conexiones negociadas previamente pueden reutilizarse fácilmente.

Si observa el formulario que publica sus datos de inicio de sesión, verá lo siguiente:

action="https://corsair.secure.force.com/SiteLogin?refURL=http%3A%2F%2Fcorsair.force.com%2F

De hecho, esta acción se publica a través de SSL / TLS. En un mundo ideal, todo el sitio es SSL. Actualmente, para el sitio en cuestión, los detalles de inicio de sesión se publican a través de un canal seguro.

Un vector de ataque podría ser un ataque MiTM (hombre en el medio). Por ejemplo, cuando llegas a la página de inicio de sesión, podrían inyectar otra acción en el elemento de formulario.

Para responder a la pregunta, SSL proporciona el beneficio de que los datos transmitidos no pueden ser vistos o manipulados por un tercero. SSL en un sitio después de que se haya pasado la credencial de inicio de sesión todavía proporcionaría las medidas de seguridad anteriores. Obviamente, sus credenciales ahora serían conocidas por un atacante, quien luego podría iniciar sesión como usted.