Escenarios de ataques de muestra en descargas de archivos a través de HTTP

Navega tus respuestas
0

Los sitios web que ofrecen archivos a través de https, ¿pueden considerarse excesivos? ¿O es una mejor práctica que todos deben seguir?

La desventaja de servir archivos a través de HTTPS es que perderá el almacenamiento en caché hasta donde he leído. Pero aparte de eso, el escenario de ataque que tengo en mente es que alguien acceda al servidor y manipule el archivo que HTTPS no ayuda mucho a prevenir, o alguien que reemplace el archivo con uno malicioso en el aire en un escenario MITM que HTTPS puede mitigar.

¿Qué tan probable es que haya un escenario MITM en el que el cliente descargue un ejecutable específico?

¿Hay otros ataques que el HTTPS pueda prevenir?

Otra solución que utilizan algunos sitios web es que colocan la suma de comprobación del ejecutable en el sitio web, pero la mayoría de los usuarios no se molestarán en verificar eso o no sabrán cómo hacerlo.

Para resumir, ¿hay una gran ganancia en la publicación de archivos a través de HTTPS (ya sea que se coloque una suma de comprobación en el sitio web junto con el archivo o no) y la publicación de archivos a través de HTTP puede considerarse un gran defecto de seguridad? >

(El escenario exacto en mi mente es que un banco está permitiendo que los clientes descarguen su aplicación de banca móvil a través de su sitio web a través de http)

    
pregunta Silverfox 30.01.2016 - 06:23
fuente

1 respuesta

1

Depende en gran medida del tipo de datos que ofrezca para descargar y del tipo de relación de confianza que existe entre el usuario y su sitio. Solo eche un vistazo más de cerca a lo que ofrece HTTPS y lo que no:

  • Ofrece algún tipo de privacidad a través del cifrado. Si los datos ya están cifrados por otros medios, no necesita otra capa de cifrado. De todos modos, si los datos son para consumo público, tampoco es necesario ocultar los datos mediante cifrado.
  • Ofrece resistencia a la manipulación. Si los datos están firmados de alguna manera y la firma se comprueba definitivamente, no es necesario agregar otra capa para la resistencia a la manipulación indebida. A menudo, las actualizaciones de firmware o software ya están protegidas de esta manera.
  • Ofrece algún tipo de autenticación del sitio que protege contra el hombre en los ataques medios. Pero no ofrece protección si el usuario toma la URL incorrecta, como una URL similar o de confianza durante un ataque de phishing.
  • Ofrece algún tipo de privacidad para ocultar qué archivo se descarga. Pero no oculta el acceso al sitio en sí, sino que solo oculta la URL específica visitada en este sitio. Y a menudo es posible averiguar qué archivo se cargó desde el sitio debido a los metadatos, como la cantidad de bytes transferidos.

Lo que significa que, dependiendo del caso de uso, HTTPS puede ayudar, pero no ofrece más protección en todos los casos. Y ofrece menos protección que uno podría asumir. Especialmente, todavía es posible descargar malware usando HTTPS porque, ya sea que se usó la URL incorrecta (phishing) o el servidor mismo se vio comprometido y sirve el malware.

Aparte de eso, generalmente no es perjudicial agregar HTTPS si tiene los recursos, sin importar si su caso de uso realmente se beneficia de ello. La mayoría de los usuarios no entienden realmente la complejidad de lo que ofrece https y lo que no, pero se sienten más seguros con https. Por lo tanto, es posible que solo les des un poco de ilusión de seguridad, es decir, teatro de seguridad.

    
respondido por el Steffen Ullrich 30.01.2016 - 06:59
fuente

Lea otras preguntas en las etiquetas

samdump2 Error al leer ControlSet: _RegOpenKey Permitir visitar el sitio web B solo si ha visitado el sitio web A primero [cerrado]