¿Se pueden rastrear las URL cuando se usa SSL? [duplicar]

18

Sé que las solicitudes http pueden ser rastreadas, por lo que sniffer puede ver la URL solicitada de la víctima. Hace 2 días, mi banco me hizo una cuenta web para ver, enviar dinero, etc. ...

Lo que vi es que mi ID de sesión siempre está en mi URL. Lo copié / pegué en otro navegador y me conecté con éxito sin ingresar mi nombre de usuario / contraseña (en el nuevo navegador).

Entonces, mi pregunta es si https: // (get) se pueden rastrear a través del cable (por ejemplo, con ettercap). ¿Debería estar preocupado?

    
pregunta Марин-Мемо Митрев 15.02.2013 - 18:46
fuente

4 respuestas

22

HTTPS usa TLS, que es Seguridad de la capa de transporte. HTTP como protocolo, se ejecuta por encima de la capa de transporte. Esto significa que toda la comunicación realizada por HTTPS, incluida la URL, está protegida.

Pasar el ID de sesión en la URL es inseguro por otras razones. Por ejemplo, expone la posibilidad de Fijación de sesión . El ID de sesión escrito en papel si un usuario imprime una página web. También anula el uso de cookies HTTPOnly ... Esto es solo una mala idea y es probable que este banco haya tomado otras malas decisiones con respecto a la seguridad.

    
respondido por el rook 15.02.2013 - 19:07
fuente
1

No, la URL no se pasa en texto sin formato cuando se realiza una solicitud HTTPS, pero, como dijo Rook, existen otras vulnerabilidades al pasar el ID de sesión en la URL.
1. Uno de ellos es que su ID de sesión aparecerá como la URL de referencia. Entonces, si hace clic en un enlace del sitio web de su banco a otro sitio web, el sitio vinculado ahora registrará su ID de sesión. Lo mismo ocurrirá con cualquier imagen o script cargado.
2. Además del problema con el sitio vinculado que almacena la información, si el enlace es a un sitio que no es https, entonces la url de referencia que contiene su ID de sesión se enviará en texto sin formato, lo que permitirá que cualquier persona que rastree la red obtenga la URL.

    
respondido por el Eric 22.02.2013 - 05:38
fuente
0

Al utilizar HTTPS, el tráfico se cifrará. El único inconveniente aquí es que si un usuario malintencionado tuvo acceso para rastrear su tráfico, también puede ser capaz de abusar de actuar como servidor de destino y configurar una conexión cifrada con usted que parezca que es su banco. El atacante creará otra sesión con el banco y reenviará todas sus solicitudes al banco y todas las respuestas. Esto le da la ilusión de que de hecho se está comunicando con su banco cuando no lo está.

Aquí es donde entran los certificados para jugar, ya que se pueden utilizar para verificar que el destino es lo que dicen ser. En este caso tu banco.

También hay algunas formas de abusar de los certificados para que parezcan legítimos.

Te recomendaría que echas un vistazo: enlace

Un gran video sobre este tema se puede encontrar aquí: enlace

    
respondido por el atorrrr 15.02.2013 - 20:16
fuente
0

Voy a tener que estar en desacuerdo con algunas de las respuestas aquí. En un sentido estricto, no se puede rastrear las URL, ya que están protegidas por SSL como se indica correctamente.

En el espíritu del sentido de "estoy a salvo" de la pregunta, tenga en cuenta que si están en condiciones de oler, comúnmente podrían realizar un ataque MITM, obteniendo detalles incluso con los sitios para los que normalmente utiliza SSL. (Ver sslstrip).

Los puntos siempre prestan atención a su navegador y no dan las cosas por sentado :)

    
respondido por el Peleus 22.02.2013 - 07:20
fuente

Lea otras preguntas en las etiquetas