Contraseña enviada a través de TLS: ¿amenazas diferentes a la de TLS?

2

Uno de mis hallazgos durante una auditoría de seguridad fue una contraseña, que se envió a través de la red. Tan malo como suena, esto sucede solo a través de la conexión HTTPS. Algunos autores sugieren aquí que no son necesarias medidas adicionales, otros señalan algunos problemas como me dijeron en los comentarios.

¿Cuáles son las amenazas que no son mitigadas por el TLS? Obviamente, las contraseñas se filtran si la conexión TLS es atacada por un hombre en el medio o comprometida de otro modo. ¿Algo más?

    
pregunta Konstantin Shemyak 01.04.2016 - 08:12
fuente

1 respuesta

2
  

¿Hay algún otro vector de ataque ...

Depende de los detalles de su implementación. Si está utilizando una solicitud POST o la autenticación HTTP común, debería estar bien. Pero si está utilizando una solicitud GET para enviar la contraseña (es decir, el formulario con el método = GET o similar), entonces la contraseña se puede guardar en los archivos de registro, el encabezado HTTP Referer, etc., que abre más vectores de ataque.

    
respondido por el Steffen Ullrich 01.04.2016 - 08:34
fuente

Lea otras preguntas en las etiquetas