¿Un Certificado SSL (https) garantiza la seguridad sin que todas las páginas estén protegidas con SSL?

Navega tus respuestas
2

Estoy escribiendo un artículo para la clase y una de las cosas sobre las que escribo es la seguridad en Internet. Sé que los certificados SSL se pueden obtener fácilmente y se supone que deben cifrar los datos en páginas certificadas SSL.

Sé que las personas experimentan problemas al hacer que su sitio sea completamente seguro incluso con la compra de la certificación SSL, por lo que solo porque una página muestre la identificación SSL o tenga un protocolo https, no significa que todas las páginas de ese sitio sean seguras.

Presentaré una situación hipotética y reiteraré mi pregunta para aclarar qué es lo que estoy preguntando:

Supongamos que voy a un sitio web que muestra que tiene seguridad SSL. Hago clic para crear una cuenta y la página de registro de nuevo usuario también muestra que su SSL está protegido. La página de inicio de sesión también tiene seguridad SSL e inicio de sesión en mi nueva cuenta. (Hasta ahora todo ha demostrado tener seguridad SSL). A medida que exploro este sitio web (conectado), algunas de las páginas que voy a NO mostrar el emblema SSL.

Mi pregunta es: si solo ingresé información que debería estar protegida, en páginas con SSL ... ¿Eso garantiza que sea realmente segura?

Además ... ¿Esa información permanece segura desde el administrador? ¿Puede un sitio parecer "seguro" pero estar expuesto a vulnerabilidades o ser una burla de los certificados SSL?

¡Gracias!

    
pregunta 20.12.2013 - 01:22
fuente

3 respuestas

1

La respuesta corta es que depende del sitio.

SSL solo cifra el tráfico en tránsito entre un punto de inicio / punto final y no hace suposiciones acerca de si los datos están protegidos en el origen o el destino. El sitio que está navegando puede hacer lo que quiera con su información, incluida la visualización de esa información confidencial mientras navega por el sitio a través de HTTP simple. Si sus datos confidenciales se envían como HTTP de vainilla, naturalmente, sus datos serán susceptibles de caerse, así como de ataques de intermediarios.

Además, como medida de seguridad, los navegadores tratarán HTTP vs HTTPS como sitios separados a pesar del nombre de dominio. Sin embargo, los sitios pueden elegir permitir la comunicación cruzada (compartir recursos) utilizando CORS (y JSONP). Es decir, con CORS es posible que la versión HTTP del sitio acceda / modifique la información en el sitio HTTPS. Esta es una preocupación ya que el tráfico HTTP puede haber sido modificado en tránsito por un atacante porque no se envía de forma segura y, por lo tanto, no se puede confiar. Un atacante podría haber modificado el contenido HTTP para hacer lo que quiera, incluido el envío de datos confidenciales a otra máquina.

    
respondido por el Chaos 20.12.2013 - 01:28
fuente
2

"Asegurado" es un término no específico sobrecargado.

SSL encripta la conexión entre el servidor y el cliente en el momento en que la conexión está abierta. Eso significa que los datos se cifran mientras están en tránsito entre el cliente y el servidor. También proporciona garantías criptográficas de que el certificado utilizado para cifrar la conexión fue emitido por una autoridad certificadora de confianza a una entidad que tiene control administrativo sobre el nombre de dominio en la barra de direcciones.

Lo que sucede después de eso está fuera del alcance de SSL. Así que no, una vez que haya terminado de enviar su información segura a través de un formulario, no hay ninguna razón para creer que estaría protegida por el administrador.

Algo más a tener en cuenta:

El hecho de que un formulario esté en una página que utiliza SSL, no significa que el envío del formulario en sí esté protegido con SSL. La etiqueta de formulario html tiene un atributo de acción que apunta a una url en el servidor. El valor en el atributo de acción se puede configurar de una de tres maneras.

  1. Use SSL si la página que contiene está usando ssl. No use ssl si la página que contiene no está usando ssl. Un atributo de acción de este tipo tomaría la forma de action="/formprocessor"

  2. Siempre use ssl independientemente de la página que lo contenga, esto se vería como action="https://example.com/formprocessor"

  3. Nunca use ssl, independientemente de la página contigua. Esto se vería como action=http://example.com/formprocessor"

respondido por el Erick 20.12.2013 - 01:40
fuente
1

¿Quiere decir garantía de seguridad o garantía de cifrado ?

Si te refieres a lo primero, entonces la respuesta es no.

El sitio aún podría ser vulnerable a muchos ataques como XSS , < a href="https://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29"> CSRF , Inyección de SQL , etc., independientemente de su estado HTTPS.

Si te refieres a esto último, entonces la respuesta también es no. A pesar del formulario de inicio de sesión, la página a la que se envía ( action="https://www.example.com/dologin" ) y cada página que muestra sus datos personales se accede a través de HTTPS, si la cookie de autenticación no ha tenido el indicador de seguridad establecido, entonces el valor se podría filtrar a través de una conexión HTTP sin cifrar (por ejemplo, si la página" acerca de nosotros "tiene una URL HTTP). El token contenido en esta cookie podría ser interceptado por un Man In The Middle que podría llevar a Secuestro de sesión por un tercero.

Esto también sería posible si no se accediera a las páginas HTTP solo una vez que haya iniciado sesión. Si visita un sitio del foro, un usuario del foro podría haber publicado una imagen externa con la URL http://www.example.com/fake_image.jpg que forzaría su cookie valor que se filtrará a través de la conexión no cifrada.

    
respondido por el SilverlightFox 23.12.2013 - 12:55
fuente

Lea otras preguntas en las etiquetas

Protección de inicio de sesión en el sitio web con extensión de Chrome La aplicación Tumblr está activada mientras el teléfono Android inició sesión en el wifi del trabajo