URL firmadas como medida de seguridad

1

La implementación de URL firmadas sería una medida de seguridad efectiva para evitar la manipulación y envenenamiento de URL en los recursos públicos que se acceden a través de una solicitud GET.

por ejemplo enlace enlace

El hash en mi caso correspondería a mi clave de caché para el recurso.

Cualquier comentario, mejora o crítica sería muy apreciado.

    
pregunta Null 12.08.2013 - 14:27
fuente

2 respuestas

1

Si el cliente lo está modificando, también necesitaríamos un mecanismo para que los certificados de los clientes tengan confianza. Para evitar alteraciones en la conexión proveniente del servidor, SSL ya cubriría esto y más. Realmente, no veo lo que esto ofrecería sobre las capacidades de SSL a menos que simplemente esté buscando una forma más liviana de proteger los enlaces sin tener que usar una conexión SSL completa.

Esto también parece que sería muy abierto a ataques de repetición a menos que se proporcionara algún tipo de IV ya que si el servidor alguna vez mostraba una URL a un atacante, esa URL podría copiarse, con su firma, a cualquier usuario futuro. Esto sería particularmente devastador en un sitio que permitiera que los usuarios hicieran los enlaces, aunque tal vez esos enlaces podrían dejarse sin confianza y sin firmar.

    
respondido por el AJ Henderson 12.08.2013 - 14:44
fuente
0

Podría ayudar si la manipulación se realiza en tránsito (proxy, MITM), pero no ayudará si la manipulación se realiza en el servidor (inyección de SQL o PHP, o reemplazo de archivos).

Dado que un gran porcentaje de la web se genera dinámicamente, el hash tendría que ser calculado por el servidor, ya que sirve a la página ... Creo que esto requeriría una revisión tanto del servidor como del navegador. la solicitud deberá devolver tanto la página como su hash, de lo contrario, para cuando se envíe la segunda solicitud para obtener el hash, la página puede haber cambiado legítimamente.

Todo lo que realmente prueba es que la página es la página que el servidor te envió y ya tenemos HTTPS para eso.

    
respondido por el Rod MacPherson 12.08.2013 - 14:36
fuente

Lea otras preguntas en las etiquetas