SSL y estrategia para evitar que se revele la URL de destino

0

Al buscar en Google el tema "detectando / espiando comunicaciones SSL seguras", se encuentran muchas referencias para poder hacer algunas buenas suposiciones sobre el "destino" una vez que se conoce / adivina la longitud del camino.

  1. ¿Le ayudaría si uno simplemente hiciera que la longitud (en términos de número de caracteres) sea inusualmente larga, lo cual es lo suficientemente fácil de hacer, de modo que esta "longitud" de la URL no caiga en los patrones habituales? ?

  2. Suponga que una aplicación PHP se encuentra en "server1.com" y pasa desde allí (donde es donde un sniffer comenzaría a buscar) una llamada de API a través de SSL a "server2.com". "server2.com" no haría nada más que tomar esa llamada y "traducirla" a "server 3.com" (también con seguridad SSL) como el destinatario final ... Los servidores 1,2 y 3 están con diferentes ISP y en diferentes regiones geográficas.

¿Eso haría que sea mucho más difícil rastrear a dónde va la solicitud (y la respuesta vuelve, suponiendo que la devolución se realizaría al revés)?

Gracias

PD: Estoy preguntando mientras discutimos internamente que (solo) un aspecto de "seguridad" es limitar la cantidad y calidad de información de su oponente que tiene sobre su sistema, que es mucho más fácil de evaluar una vez que sabe donde su sistema se encuentra en la URL, por lo tanto, nuestra discusión en curso sobre estrategias adecuadas para ocultar el "destino objetivo" para la llamada a la API, por lo que es mucho menos probable que este destino sea "investigado" sobre sus sistemas para identificar sus debilidades (que por supuesto siempre existen, en mayor o menor medida)

    
pregunta user1402897 04.11.2013 - 12:14
fuente

1 respuesta

1

Estás pensando en un proxy inverso . El objetivo de envío no es el objetivo real sino un proxy que transmite los datos al destino real. No veo el punto de tal estrategia desde un punto de seguridad tuyo. La seguridad de su sistema no debe depender de que esté oculto u oculto, debe ser una propiedad intrínseca del propio sistema. El problema es que estás mirando esto desde el ángulo equivocado; Esto no tiene nada que ver con las vulnerabilidades en SSL / TLS.

Incluso si CRIME and BREACH nunca existió y no hay secretos en las sesiones de SSL / TLS era posible revelarlo, todo lo que se necesita es que alguien use su aplicación para revelar el servidor de destino de envío. En realidad, no necesitan hacer eso, simplemente pueden mirar el tráfico para ver a dónde va. SSL / TLS no oculta la dirección IP de destino, y la gran mayoría de las consultas de DNS se envían de forma clara.

Esto es solo una capa de oscuridad que se debe discutir después de la seguridad subyacente se ha evaluado exhaustivamente.

    
respondido por el Adi 04.11.2013 - 13:12
fuente

Lea otras preguntas en las etiquetas