¿Existe alguna vulnerabilidad al realizar solicitudes HTTP entre dominios durante una conexión SSL?

Navega tus respuestas
2

Recientemente comencé a usar el Calomel SSL Validation plugin para Firefox Probar la seguridad SSL en los sitios que visito. Al navegar a la página de inicio de sesión de American Express, noté que Calomel informa que el cifrado está "roto e inseguro".

Luego ejecuté un analizador HTTP en las solicitudes de la página de inicio de sesión de HTTPS AmEx y encontré lo siguiente: 

POST http://ocsp.verisign.com/
GET  http://ad.doubleclick.net/crossdomain.xml
POST http://evintl-ocsp.verisign.com/
POST http://evsecure-ocsp.verisign.com/

Estas 4 solicitudes son, por lo que puedo decir, la causa de las advertencias de SSL que estoy viendo. Las solicitudes de Verisign parecen estar verificando el estado del certificado emitido y la solicitud de dominio cruzado para DoubleClick está obteniendo la información de la política de dominio cruzado.

¿Estas solicitudes ponen en riesgo la conexión SSL al estar sobre HTTP? Noté que ninguno está enviando cookies de AmEx.

¿Es seguro realizar la verificación del estado del certificado a través de un HTTP OCSP POST inseguro durante una conexión SSL?

    
pregunta Mike G. 24.06.2013 - 21:25
fuente

1 respuesta

2

Esta pregunta es completamente dependiente de qué contenido se está cargando y qué navegador está usando. (La información que falta curiosamente en esta publicación)

Chrome de forma predeterminada evitará las vulnerabilidades de contenido mixto al cargar recursos a través de HTTPS si es posible. Firefox presentará esta característica de seguridad en breve. IE carece de muchas características de seguridad modernas, y es especialmente vulnerable a las vulnerabilidades de Contenido Mixto.

Si está cargando JavaScript desde una fuente HTTP en una página HTTPS, entonces toda la página está comprometida. Un atacante podría introducir JavaScript arbitrario y leer cualquier contenido dentro de esa sesión (similar a XSS). Los objetos flash que tienen allowscriptaccess habilitado también tendrán acceso a cualquier contenido dentro de esta sesión HTTPS. CSS normalmente no es una preocupación, sin embargo, Internet Explorer le permite incrustar JavaScript en CSS, lo que permitiría a un atacante leer contenido arbitrario dentro de la sesión.

Entonces, ¿qué pasa con las imágenes y el video? Bueno, podrías hacer que Goatse alguien (los niños todavía hagan esto bien?) O voltear las imágenes al revés , pero eso es menos preocupante que leer números de tarjetas de crédito, obtener la contraseña de un usuario o leer una cookie con el conjunto de indicadores Secure .

En las URLS anteriores Las solicitudes de OCSP suelen estar en texto sin formato. Secuestrar un crossdomain.xml no es una gran preocupación, especialmente cuando el archivo en cuestión ya tiene la regla menos segura posible conjunto: 

<allow-access-from secure="false" domain="*"/>
    
respondido por el rook 25.06.2013 - 03:28
fuente

Lea otras preguntas en las etiquetas

Usar X-actual-destinatario para desviar el correo electrónico ¿El almacenamiento de sus archivos como archivos comprimidos individuales compromete la integridad?