¿Es una mala práctica publicar desde HTTP a HTTPS?

61

Suponiendo que SSL sirve para cifrar los datos y para garantizar la identidad y la legitimidad del sitio web, si la práctica de proporcionar un formulario de inicio de sesión en una página solicitada a través de HTTP se evitará, incluso cuando se publique en HTTPS?

La pregunta se relaciona con una publicación que hice ayer sobre Who's who de las malas prácticas de contraseña y algunos de los comentarios que sugieren que no ver bien el certificado representado en el navegador antes de la autenticación estaba bien si el formulario se publicaba de forma segura.

En mi opinión, esto vende SSL a corto, ya que no solo pierde la capacidad de validar la legitimidad del sitio antes de entregar sus credenciales, sino que también no tiene la certeza de que es publicación sobre HTTPS. Soy consciente de que Twitter y Facebook adoptan este enfoque, pero ¿deberían hacerlo? ¿Estoy pasando por alto algo aquí o es una práctica que debería desanimarse?

Actualización: terminé detallando el resultado de esta pregunta y la discusión posterior en la publicación del blog SSL no se trata de cifrado

    
pregunta Troy Hunt 18.01.2011 - 01:36
fuente

4 respuestas

56

Estados OWASP:

(copia textual de enlace )

  

Páginas de inicio de sesión seguras
  Hay varias consideraciones importantes para diseñar de forma segura una página de inicio de sesión. El siguiente texto abordará las consideraciones con respecto a SSL.

     

Los inicios de sesión deben publicarse en una página SSL   Esto es bastante obvio. El nombre de usuario y la contraseña deben publicarse a través de una conexión SSL. Si observa el elemento de acción del formulario, debe ser https.

     

La página de inicio de sesión debe usar SSL   La página real donde el usuario completa el formulario debe ser una página HTTPS. De lo contrario, un atacante podría modificar la página a medida que se envía al usuario y cambiar la ubicación de envío del formulario o insertar JavaScript que roba el nombre de usuario / contraseña a medida que se escribe.

     

No debe haber mensajes de advertencia o error de SSL   La presencia de cualquier mensaje de advertencia SSL es un error. Algunos de estos mensajes de error son preocupaciones legítimas de seguridad; otros desensibilizan a los usuarios frente a problemas de seguridad reales, ya que hacen clic ciegamente en aceptar. La presencia de cualquier mensaje de error de SSL es inaceptable, incluso la discrepancia de nombre de dominio para www.

     

Las conexiones HTTP deben eliminarse   Si un usuario intenta conectarse a la versión HTTP de la página de inicio de sesión, se debe denegar la conexión. Una estrategia es redirigir automáticamente las conexiones HTTP a las conexiones HTTPS. Si bien esto lleva al usuario a la página segura, existe un riesgo persistente. Un atacante que realiza un ataque en el medio puede interceptar la respuesta de redireccionamiento HTTP y enviar al usuario a una página alternativa.

Para repetir: La página de inicio de sesión debe usar SSL

    
respondido por el Tate Hansen 18.01.2011 - 01:43
fuente
13
Puede que valga la pena agregar que existen herramientas automatizadas para hacer exactamente lo que indican las mejores prácticas de OWASP: "un el atacante podría modificar la página a medida que se envía al usuario y cambiar la ubicación de envío del formulario ... "El enlace incluye una presentación de Black Hat sobre el ataque.

    
respondido por el PulpSpy 18.01.2011 - 04:51
fuente
9

Para agregar a las respuestas ya proporcionadas. Ha habido casos prácticos en los que tener páginas de destino que no son HTTPS permite a los atacantes modificar el sitio y obtener las credenciales de los usuarios. Este ejemplo , es el más reciente que he visto. En este caso, se realizó a nivel de ISP, pero también lo pueden hacer los proveedores de puntos de acceso inalámbricos o cualquier persona que utilice las herramientas relevantes para llevar a cabo un ataque Man-In-The-Middle.

    
respondido por el Rоry McCune 18.01.2011 - 11:39
fuente
-3

Técnicamente aún es seguro: su navegador le dirá si no le gusta el certificado después del protocolo SSL pero antes enviando datos HTTP. Sin embargo, como usuario, desconfiaría mucho de un sitio que me pide que proporcione los detalles de autenticación antes de que haya cambiado a HTTPS - sin investigar un poco, y algo de conocimiento sobre el tema, no lo sé hasta después de haber enviado la información si el lugar donde lo estaba enviando para es seguro (o donde esperaba).

Incluso si confío en el sitio, este enfoque puede verse socavado por un ataque MITM en la página HTTP.

    
respondido por el symcbean 18.01.2011 - 12:05
fuente

Lea otras preguntas en las etiquetas