Evitando el ataque de tira de SSL

Navega tus respuestas
0

¿Es posible detectar un ataque de tira SSL al verificar si la página entregada es HTTPS o HTTP usando JavaScript? Supongo que la página de respuesta es una página HTTPS en lugar de HTTP?

    
pregunta faraz khan 22.05.2015 - 13:38
fuente

3 respuestas

1

Es posible que desee ver cómo configurar su servidor web en HSTS (Strict Transport Security) que usa un encabezado de respuesta especial para indicar al navegador que solo acepte tráfico https. Divulgación completa: como esperaba, IE soporta < 11 Creo que es limitado. Si debe usar algo del lado del cliente para verificar https, creo que podría usar window.location.protocol.

    
respondido por el brian 22.05.2015 - 15:28
fuente
0

Puede intentar lo siguiente:

  • Crea una cookie con Javascript. Establezca la marca de seguridad en la cookie, de modo que solo se pueda usar para conexiones https.
  • Haga una solicitud https al servidor y verifique si se recibió la cookie segura. Si no se recibió, puede asumir que la solicitud en el lado del cliente no se realizó con https, es decir, que algo como sslstrip estaba activo.
respondido por el Steffen Ullrich 22.05.2015 - 14:19
fuente
0

Puede usar window.location.protocol para verificar qué protocolo está en uso. Pero el atacante puede entregar la página sin esta etiqueta, por lo que necesitará una verificación de la existencia de este script en la página. Personalmente, usaría HSTS para eliminar este tipo de ataque, no verificando el protocolo.

    
respondido por el Vilican 21.06.2015 - 16:45
fuente

Lea otras preguntas en las etiquetas

Sala de servidores PCI en las instalaciones: ¿cómo manejar a los visitantes de la oficina? ¿Puedo saber si una secuencia de comandos de Python está segura de transmitir datos confidenciales al analizar sus importaciones?