¿Qué tan seguro es redirigir al usuario de http://normal.bank.com a https://secure.bank.com?

18

Tengo una aplicación. Que funciona en http, enlace . Sin embargo, para iniciar sesión, realizar cualquier acción, etc. Estoy redireccionando al usuario a enlace , donde el usuario puede iniciar sesión y realizar la acción. ¿Esto es todavía vulnerable al ataque MIM? ¿Cuáles son las precauciones?

    
pregunta user960567 03.11.2013 - 09:06
fuente

6 respuestas

14

Sí, eres vulnerable a los ataques MITM debido al hecho de que estás comenzando con una aplicación web sin cifrar. Aquí es donde tiene lugar el ataque, ya que el atacante podría modificar cualquier referencia a https://secure.bank.com y reemplazarla con http://secure.bank.com . El atacante luego interceptará sus datos y transmitirá el contenido a la conexión segura real en https://secure.bank.com

Se recomienda encarecidamente forzar SSL desde el principio de la sesión, y debes asegurarte de anunciar solo la URL segura.

    
respondido por el David Houde 03.11.2013 - 09:23
fuente
17
  

¿Esto es todavía vulnerable al ataque MIM?

Sí, lo es, porque probablemente iría con cookies de sesión que podrían ser rastreadas a través de un complemento del navegador como firesheep o man-in-the-middle'd fácilmente.

  

¿Cuáles son las precauciones?

La mejor práctica hoy en día es que toda su aplicación se ejecute sobre HTTPS porque:

  • las cookies seguras don't funcionan en un entorno mixto
  • Los ataques MITM do funcionan en un entorno mixto
  • garantizando la autenticidad de su sitio web para sus usuarios no funciona > funciona en un entorno mixto
  • no hay necesidad de pensar en recursos HTTP en una página HTTPS y en alertas de navegador feas

Para garantizar HTTPS en todo el sitio:

  • cree 2 configuraciones de host virtual, una para http: y otra para https:
  • en su configuración http, use un redireccionamiento de http://site/resource a https://site/resource como el único patrón en esta configuración, por lo que si alguien escribe http://site/somepath , siempre será redirigido al sitio seguro
  • en su configuración https, use un encabezado HTST para ayudar a garantizar (basado en navegador) que su usuario visite su sitio siempre a través de HTTPS

Todo lo demás, como el inicio de sesión solo con cifrado está desactualizado; busca "cortafuego"

    
respondido por el that guy from over there 03.11.2013 - 09:29
fuente
11

Después de visitar http://normal.bank.com , un atacante puede reemplazar todos los enlaces a https://secure.bank.com con enlaces a http://secure.bank.com . Cuando el usuario hace clic en http://secure.bank.com , el MITM se conectará felizmente al servidor a través de HTTPS y devolverá el contenido al cliente a través de HTTP. No importa qué precauciones de redirección se utilicen aquí, el MITM puede evitar toda la redirección.

En conclusión, sí, todavía eres vulnerable a los ataques MITM.

    
respondido por el Adi 03.11.2013 - 11:54
fuente
5

Voy a oponerme a la tendencia aquí y diré que es aceptable redireccionar así.

Es cierto que un usuario es vulnerable a MITM si va a enlace y continúa usando el sitio sin más controles de certificados , URLs, etc.

Sin embargo, este es un problema del comportamiento del usuario, y no es algo que pueda arreglarse en el servidor.

Solo pensemos por un minuto cómo podría intentar arreglar este lado del servidor. En lugar de emitir un redireccionamiento, puede mostrar una página informativa, tal vez con una advertencia fuertemente redactada "Para acceder a este sitio de forma segura, debe usar enlace " O puede hacer que el servidor web solo escuche en el puerto 443 y rechace el puerto 80.

Ahora, ¿qué sucede si un atacante tiene el control total de la red de un usuario? Cuando el usuario accede a enlace , el atacante los redirige a enlace y presenta una página de phishing. O tal vez insertan una página de phishing directamente en enlace De cualquier manera, un usuario experimentado y alerta podría detectar esto, pero muchos usuarios continuarán.

No importa el comportamiento real de enlace : el atacante puede hacer lo que quiera.

Así que, en última instancia, se trata de un problema de capacitación del usuario. Y el comportamiento del sitio puede influir en esto. La gran mayoría de las veces que un usuario visita el sitio, visitará el sitio real y no un ataque MITM. Si el sitio los redirige automáticamente, esto no hace nada para desalentarlos a usar la URL de http en el futuro. Si reciben un mensaje de advertencia, o el sitio simplemente no funciona, aprenderán rápidamente a usar los https de forma predeterminada.

¿Pero qué tan responsable eres como operador de sitio para capacitar a tus usuarios de esta manera? La realidad es que la gran mayoría de los sitios redireccionan de http a https de esta manera. Desde un punto de vista empresarial, ¿por qué hacer que su sitio sea más difícil de usar que los competidores? Si solo estás haciendo esto, ¿realmente vas a tener un efecto en el comportamiento general del usuario?

Por esas razones, en general, recomiendo que la mayoría de los sitios redirijan de http a https de esta manera.

Para bloquear esto tanto como sea posible, te recomiendo que configures la redirección para que enlace redirija a enlace - eliminando el resto de la URL.

    
respondido por el paj28 04.11.2013 - 00:45
fuente
4

No se mencionó explícitamente hasta ahora, por lo tanto esta respuesta tardía. Los sitios web que cambian entre HTTP y HTTPS son inevitablemente propensos a SSL-strip . Una buena explicación que puedes encontrar aquí:

presentación de la tira SSL de Moxie Marlinspike

Algunos puntos importantes:

  • Es la primera solicitud que hace la diferencia. Cuando el usuario comienza con HTTP como la primera página, entonces SSL-strip puede comunicarse con el usuario con HTTP y con el sitio con HTTPS. Un sitio de conmutación evitará que el usuario elija HTTPS para la primera solicitud.
  • Aquí es donde aparece el encabezado HSTS. Si ya visitó el sitio anteriormente desde una conexión segura, el encabezado indicará al navegador que llame al sitio con HTTPS solo para futuras solicitudes. Si visita el sitio por primera vez, el encabezado de HSTS no puede ayudar.
  • Si al usuario le importa, puede comenzar con HTTPS (escribiendo la url con https: // en la barra del navegador), esto hace que la tira SSL no sea posible en los sitios que solo tienen SSL.
respondido por el martinstoeckli 08.11.2013 - 11:31
fuente
2

Escribí una publicación en el blog al respecto hace unos meses. En la publicación de mi blog, mostré cómo redirigir el tráfico de http a https podría ser potencialmente peligroso dependiendo del mecanismo seleccionado. Propuse HSTS (HTTP Strict Transport Security).

enlace

    
respondido por el Michael Hidalgo 08.11.2013 - 04:56
fuente

Lea otras preguntas en las etiquetas