Problemas potenciales con una conversión de HTTPS a HTTP

1

Estoy experimentando un problema con ciertos correos electrónicos provenientes de servicios externos como yahoo y google. Específicamente, solo se puede acceder a los recursos solicitados a través de SSL. Encontré la siguiente información para resolver potencialmente el problema. enlace

El autor menciona que existen problemas potenciales al revertir las operaciones de una operación forzada de HTTPS para permitir la conversión a HTTP. ¿Alguien puede, por favor, ampliar estos posibles problemas? Soy curioso, porque esto podría resolver mi problema actual, pero no quiero crear vulnerabilidades potenciales sin comprenderlas más a fondo, o prevenirlas por completo.

Actualización: para aclarar un poco más la pregunta. Estoy preguntando específicamente sobre los posibles tipos de amenazas que podrían pasar a través de una conexión que no sea HTTPS en un sitio público.

    
pregunta Joshua 28.02.2017 - 18:47
fuente

2 respuestas

3

El problema al que se refieren es la exposición confidencial a las cookies, en particular, las cookies que contienen una autenticación o token de sesión. Específicamente, en este caso, nunca debe forzar a un usuario autenticado a HTTP y permitir que permanezcan autenticados. Esto solía ser una práctica común, incluso entre propiedades web muy grandes, hasta que una herramienta llamada Firesheep demostró lo catastróficamente insegura que era.

Por lo tanto, si usa cookies de autenticación o de sesión para identificar usuarios específicos, o cookies que contienen cualquier datos confidenciales, esas cookies deben marcarse con el indicador "seguro", lo que evitará que sean se envían junto con las solicitudes HTTP y se limitan a las solicitudes HTTPS solamente.

Hablando en general, sin embargo, en este día de edad, no hay muchas buenas razones para hacer esto en cualquier caso. Me gustaría pensar mucho en forzar HTTPS a HTTP, y preferiría proteger todo con HTTPS siempre que sea posible.

    
respondido por el Xander 28.02.2017 - 21:04
fuente
3
  

Estoy experimentando un problema con ciertos correos electrónicos provenientes del exterior   Servicios como yahoo, y google. Específicamente lo solicitado.   Solo se puede acceder a los recursos a través de SSL.

Está bien, entonces recibe un correo electrónico y contiene enlaces a contenido cifrado (https: //).

  

hay problemas potenciales con revertir las operaciones de un forzado   Operación HTTPS para permitir la conversión desde HTTP. Alguien puede por favor   ampliar estos posibles problemas?

En pocas palabras, el autor / editor del contenido que está viendo decidió, basándose en sus propias razones y en el análisis de costo / beneficio, utilizar el cifrado. Si se arriesga a usted mismo para salir del camino y forzar una solicitud sin cifrar (http: //), está anulando su decisión.

Tal vez estén en mercadotecnia y hayan especificado la imagen de banner colorida para usar https porque era fácil y compatible con todo lo demás. No hay un valor particular para esa imagen que necesita ser protegida por encriptación. No es gran cosa ...

... Por otro lado, quizás te estén enviando a una página con datos confidenciales:

  • Tal vez te estén enviando a una página que solicita credenciales.
  • Tal vez le estén enviando a una página que configura cookies que se volverán importantes más adelante.
  • Tal vez solo están enviando una historia realmente buena que te gustaría leer, pero un filtro web basado en el contenido podría hacerte una mueca.

Cualquiera que sea el caso, eligieron cifrar. Si elige anular lo que ellos eligieron, entonces hay una buena posibilidad de que haya expuesto algo por lo que no negoció.

    
respondido por el gowenfawr 28.02.2017 - 21:33
fuente

Lea otras preguntas en las etiquetas