El acceso a múltiples sitios a través de HTTPS produce contenido diferente y no relacionado (Peugeot club a través de HTTPS)

13

Me he encontrado con un sitio web aleatorio Moodoo.cz . Lo interesante es que si accede a él a través de HTTPS: Moodoo.cz , el contenido cambia por completo. No es tan inusual: supongo que el servidor puede servir contenido diferente para diferentes protocolos.

Pero he encontrado docenas de dichos sitios web que tienen el contenido de mismo (foro Peugeot 205 Club) en su protocolo HTTPS, muchos de los cuales son negocios válidos. Estoy firmemente convencido de que la mayoría de estos sitios web no saben si esto está sucediendo y que es solo un agujero de seguridad mal utilizado.

¿Puede explicar (o al menos hacer un poco de información) qué problema de seguridad comparten estos sitios web? ¿Qué debo comprobar para garantizar que esto no suceda en mi sitio web?

A continuación, se encuentra un subconjunto de sitios web que encontré que tienen el problema descrito. Naturalmente, algunos de ellos solucionarán el problema en el futuro. También se le puede solicitar que agregue una excepción de seguridad temporal para ver el contenido.

pregunta Jeyekomon 06.03.2018 - 12:22
fuente

4 respuestas

42

Es probable que se trate de una mala configuración del servidor, ya que todos esos sitios web se sirven desde 95.173.215.72 .

Al abrir uno de los sitios web a través de HTTPS, mi navegador me advierte que el nombre común del certificado, que debe coincidir con el dominio del sitio web, no es válido.

Supongo que se supone que esos sitios web no son accesibles a través de HTTPS, ya que Apache no está configurado para entregar el certificado correcto y parece que carga el sitio web predeterminado ( forum.205gti.org ).

Por lo que sé, esto no es una vulnerabilidad de seguridad.

    
respondido por el Benoit Esnard 06.03.2018 - 12:38
fuente
12
  

También se le puede solicitar que agregue una excepción de seguridad temporal para ver el contenido.

Este es un problema típico cuando varios sitios comparten la misma dirección IP y algunos de ellos tienen habilitado HTTPS y otros no. En este caso, a menudo se entregarán un certificado y un sitio predeterminados donde el sujeto de los certificados no coincida con el dominio en la URL, lo que genera un error de validación del certificado que lleva a la advertencia que ve.

Dado que no se supone que los usuarios simplemente hagan clic en estas advertencias , esto significa simplemente que el sitio no está disponible (por ejemplo, para los usuarios que no omiten advertencias) por parte de HTTPS. Pero, simplemente no ser accesible por HTTPS no es un problema de seguridad por sí mismo. En otras palabras: no veo un problema de seguridad aquí. Y también afirma que existe un problema de seguridad, pero en realidad no explica qué es exactamente. Tenga en cuenta que hay formas alternativas de hacer frente a una situación en la que algunos sitios en la misma dirección IP tienen habilitado HTTPS y otros no. En lugar de servir algún sitio predeterminado, algunas configuraciones simplemente no sirven para nada, es decir, producen un error de conexión. Pero, en esencia, ambos casos significan que el usuario no recibirá ningún contenido.

Pero veo un problema diferente: usted asume que está bien ignorar las advertencias explícitas del navegador y continuar accediendo al sitio. Si tiene esta mentalidad, es fácil montar a un hombre en el ataque central en su contra, ya que simplemente hará clic en las mismas advertencias explícitas que recibe del navegador cuando visita algún sitio mientras es atacado. Y ser vulnerable al hombre en los ataques medios debido a ignorar tales advertencias es el verdadero problema de seguridad aquí .

    
respondido por el Steffen Ullrich 06.03.2018 - 12:50
fuente
1

Resolver algunas preguntas, puede o no ser capaz de responder las preguntas inmediatas de los OP:

  1. Puede obtener un certificado SSL para varios dominios.
  2. Puede obtener un certificado SSL para una sola IP.
  3. El error lanzado en enlace es suficientemente explicativo. El servidor está mal configurado porque el servidor está intentando utilizar el certificado SSL para forum.205gti.org. Hasta que esto no se corrija, la conexión no es segura.

Debes informar este problema al administrador del servidor.

    
respondido por el Steven 06.03.2018 - 21:41
fuente
1

Parece que este sitio aloja varios sitios con la misma dirección IP.

Históricamente, solo podría tener un sitio (en este caso, el club Peugeot) usando HTTPS por dirección IP, lo que probablemente sea la razón por la que este sitio se configuró de esta manera.

Esto sucedió porque el protocolo de enlace SSL / TLS ocurrió antes de que el cliente enviara al servidor el encabezado "Host", que define a qué sitio intenta acceder. Debido a que el servidor no sabía a qué sitio se accedía, siempre usaría el mismo certificado para todas las solicitudes.

Hoy en día hay una extensión del protocolo TLS llamada Indicación del nombre del servidor que le permite al cliente especificar qué host está intentando para acceder.

Lamentablemente, los clientes web e incluso los servidores tardaron mucho tiempo en implementar SNI, por lo que aún verá las configuraciones de sitios como esta en la naturaleza.

    
respondido por el hrnt 08.03.2018 - 10:19
fuente

Lea otras preguntas en las etiquetas