Redirecciona de HTTP a HTTPS; SSLStrip

Navega tus respuestas
1

La página de inicio de nuestra aplicación web redirige de HTTP a HTTPS. Nuestro asesor de seguridad nos ha dicho que esto es una debilidad de seguridad importante, que la redirección podría interceptarse, por ejemplo. por SSLStrip. Y, por lo tanto, debemos eliminar la redirección y deshabilitar HTTP por completo, lo que requiere que el usuario escriba manualmente https: // ...

Después de haber estudiado el problema por mí mismo, me parece que la respuesta http inicial puede ser falsificada por MITM directamente por un atacante, sin necesidad de una redirección. Por lo tanto, eliminar el redireccionamiento no logra nada.

No estoy seguro, sin embargo, si SSLStrip sí puede hacerlo específicamente, tal vez deba ver primero la respuesta HTTP inicial.

Entiendo que HSTS evitaría este problema, SI el dispositivo / navegador en cuestión se haya comunicado con nuestra aplicación una vez antes. Pero para el contacto inicial, la solicitud HTTP puede ser secuestrada, independientemente de lo que haga la aplicación, no hay protección, a menos que nuestra aplicación web fuera lo suficientemente popular como para ser incluida en las listas HSTS del navegador.

¿Qué me perdí? ¿La redirección de HTTP a HTTPS es significativa?

Detesto su eliminación, ya que evitará que muchos usuarios típicos puedan conectarse a nuestro sitio, y no parece lograr nada.

    
pregunta O'Rooney 05.02.2016 - 07:15
fuente

1 respuesta

4

Sí, en un escenario MITM, una solicitud HTTP inicial es todo lo que se necesita para atacar con éxito (si el usuario no nota el HTTPS que falta). Y la única forma de evitar esta solicitud HTTP inicial es Seguridad de transporte estricta de HTTP (HSTS) .

Como sabe, HSTS significa que las respuestas HTTPS de su servidor incluyen un encabezado HSTS que le dice al navegador que solo use HTTPS, es decir, el cliente no sabe que solo debe comunicarse con el servidor a través de HTTPS antes de obtener la primera respuesta HTTPS.

Pero hay una característica de HSTS que resuelve este problema: ¡precarga! Todos los navegadores compatibles con HSTS también incluyen una lista de dominios codificada, que solo debe contactarse a través de HTTPS. Todos pueden enviar su dominio para que se incluya en la lista de precarga de HSTS si cumplen con los criterios:

  
  1. Tener un certificado válido.
    2.   
  2. Redirigir todo el tráfico HTTP a HTTPS, es decir. ser solo HTTPS.
    3.   
  3. Sirve todos los subdominios a través de HTTPS, incluyendo específicamente el subdominio www si existe un registro DNS para ese subdominio.
    4.   
  4. Sirve un encabezado HSTS en el dominio base para las solicitudes HTTPS:      
    • La caducidad debe ser por lo menos dieciocho semanas (10886400 segundos).
      •   
    • El token includeSubdomains debe estar especificado.
      •   
    • El token de precarga debe estar especificado.
      •   
    • Si está sirviendo una redirección adicional desde su sitio HTTPS, esa redirección aún debe tener el encabezado HSTS (no la página a la que redirige).
      •   
    5.   

La desactivación de HTTP en su servidor no mejora su seguridad: el usuario no sabrá que está desactivado antes de su primera solicitud y, por lo tanto, seguirá haciendo su solicitud a través de HTTP y permitirá que MITM responda a la solicitud, incluso si su El servidor no lo habría respondido.

    
respondido por el Beat 05.02.2016 - 07:52
fuente

Lea otras preguntas en las etiquetas

¿La seguridad de la información justifica el “error 53” de Iphone 6? [cerrado] XSS ¿Vector sin o símbolos o signo igual?