Me he dado cuenta de que muchos sitios web implementan HTTPS para realizar cambios en la información de la cuenta, aunque el usuario ya haya iniciado sesión a través de HTTPS y haya sido registrado por SESSION.
¿Es esto realmente necesario?
Me he dado cuenta de que muchos sitios web implementan HTTPS para realizar cambios en la información de la cuenta, aunque el usuario ya haya iniciado sesión a través de HTTPS y haya sido registrado por SESSION.
¿Es esto realmente necesario?
De hecho, cualquier sitio que use una combinación de HTTP y HTTPS será vulnerable a los ataques de intermediarios, y la mayoría también será vulnerable a los ataques tipo Firesheep que capturan la cookie de la sesión al espiar el HTTP. conexión.
No es suficiente usar HTTPS solo para el inicio de sesión y los cambios en la información de la cuenta. Los sitios deben usar HTTPS para todo, si quieren estar seguros contra los ataques de intermediarios (por ejemplo, si quieren estar seguros para los usuarios que se conectan a través de Wifi abierto).
Vea las siguientes preguntas en este sitio: ¿Cuáles son los pros y los contras de SSL (https) en todo el sitio? , ¿Cuándo corren riesgo las cookies de sesión HTTP a través de Wi-Fi? , y ¿Qué sitios aún son vulnerables a FireSheep? .
De hecho, todas las comunicaciones deben hacerse a través del canal HTTPS. Usar HTTPS solo para autenticación es una mala idea. Después de que se haya creado el ID de sesión de autenticación, se puede utilizar para suplantar al usuario que inició sesión.
¿Por qué esperas que en el caso de un ataque de hombre en el medio, el inicio de sesión falle? Solo fallaría si el usuario notara un certificado incorrecto, pero no es importante en este caso. Si el cambio de contraseña no requiere HTTPS, el atacante no necesita montar el ataque del hombre en el medio. Es suficiente para él simplemente escuchar la comunicación. No podrá ver el nombre de usuario y la contraseña durante la autenticación, pero verá una nueva contraseña cuando el usuario la cambie. El nombre de usuario probablemente se mostrará en algún lugar de las páginas, por lo que el atacante obtendrá el nombre de usuario y la contraseña solo con escuchar. No hay necesidad de ataques activos como man-in-the-middle.
Puede encontrar información adicional sobre HTTPS en Hoja de referencia de protección de la capa de transporte
Lea otras preguntas en las etiquetas web-application tls session-management