¿Cuál es la mejor manera de lograr esto y prevenir ataques como SSL Strip?
¿Cuál es la mejor manera de lograr esto y prevenir ataques como SSL Strip?
Capacite a los usuarios para que siempre escriban https:// para su sitio, sigan enlaces de un sitio como google (que tiene HSTS ) o use un marcador. (Realice esta capacitación además de otras políticas de capacitación sensatas: no haga cosas sensibles a la seguridad en computadoras públicas o wifi no seguras / públicas, use contraseñas seguras que no se reutilicen, etc. Luego, intente haciendo que los fabricantes de navegadores codifiquen su sitio en su listas HSTS precargadas solo .
Realmente no hay mucho más que puedas hacer.
EDITAR: No estoy 100% seguro de los detalles de SSL-Strip, pero de acuerdo con algunos, desactivar el puerto 80 (además de simplemente redirigir a https) funcionará para detener los ataques de SSL Strip. Por lo tanto, puede ser sensato, aunque debe reconocer que es posible ir más allá de SSLStrip para realizar un ataque MitM contra un sitio que solo funciona con HTTPS, si puede engañar al usuario para que vaya a un sitio HTTP que apunte a una computadora que controle ( por ejemplo, después de la simulación de ARP) antes de que se conecten por primera vez. Por lo tanto, desactivar HTTP (puerto 80) o tener solo el puerto 80 solo envía redirecciones a HTTPS (puerto 443) parece ser un movimiento defensivo razonable, debe tener en cuenta que no evita los ataques de SSL en general.
La única forma es no ofrecer datos razonables (esto ya incluye formularios de inicio de sesión) en el puerto 80. De esta manera, el cliente debe cambiar a https, ya sea a mano o automáticamente a través de la redirección, etc.