Riesgos de usar AJAX en un dominio HTTPS desde una página servida sobre HTTP

2

Hoy estuve trabajando en el servidor de pruebas de una empresa cuando noté que alojan el subdominio de su API a través de una conexión HTTPS mientras que sirven su panel de control orientado al usuario mediante una conexión HTTP. ¿Esto supone un riesgo para la seguridad? Sé que HTTP no brinda protección a los datos transmitidos a través de la red, pero no sé si esto afectará a las llamadas HTTPS que se realicen después de que la página se haya cargado en el navegador de un usuario.

También, algunas notas: El panel de control de la compañía es una aplicación de una sola página. Inspeccioné el tráfico de la red cuando cargaba la página y, por lo que sé, todas las solicitudes AJAX se envían a través de HTTPS, incluidas las solicitudes de inicio de sesión.

Si esto es un riesgo de seguridad, ¿puede indicarme algunos documentos oficiales que puedo usar para convencer a la compañía de que tienen un problema?

    
pregunta Copernicus 30.04.2017 - 04:47
fuente

1 respuesta

0

Tienes un panel de control HTTP que carga contenido de API a través de HTTPS. Esto implica que si un atacante de hombre en el medio observa a alguien que solicita el tablero, puede modificar arbitrariamente la respuesta e inyectar su propio contenido, por ejemplo. de una manera que revelará al atacante todas las solicitudes subsiguientes de API por parte de la página del panel de control modificado.

Un atacante podría lograr esto al inyectar el código JS que, con cada solicitud de API, también envía la respuesta a un dominio controlado por el atacante o posiblemente reescribiendo las solicitudes a la API de HTTPS a HTTP simple.

  

No sé si esto afectará a las llamadas HTTPS que se realicen después de que la página se haya cargado en el navegador de un usuario.

Después de el sitio HTTP se ha cargado y solo bajo la condición de que el atacante no pueda observar ninguna solicitudes HTTP simples (lo que significa que el usuario nunca vuelve a cargar el sitio), el atacante no tendría la oportunidad de escuchar a escondidas las solicitudes HTTPS posteriores a la API o modificar ningún contenido.

(Pero podrían engañar al usuario para que vuelva a cargar el tablero HTTP bloqueando las solicitudes HTTPS, lo que hace que el usuario piense que hay un error que podría solucionarse al volver a cargar el sitio).

    
respondido por el Arminius 30.04.2017 - 04:58
fuente

Lea otras preguntas en las etiquetas