TLS / SSL y transmisión de contraseña

0

Todavía me estoy confundiendo con los temas de seguridad. Por el momento, las ventajas y desventajas de algunos de los métodos de autenticación aún no están muy claras. Según la hoja de referencia de autenticación de OWASP , la contraseña solo debe transmitirse por tls debido a la siguiente declaración:

  

"Si no se utiliza TLS para la página de inicio de inicio de sesión, un atacante puede modificar el formulario de inicio de sesión".

Mi primera pregunta es: si la declaración anterior está implícita automáticamente cada vez que la contraseña no se transmite a través de TLS / SSL. Debido a que normalmente no hay TLS / SSL significa que no hay confidencialidad, integridad y protección de repetición para esta Contraseña, pero no entiendo qué tiene que ver el formulario Action. una parte del hecho de que existe la posibilidad de ver la contraseña en algún lugar.

Mi segunda pregunta es: ¿Es posible en la práctica que un atacante manipule el formulario de inicio de sesión? ¿Cómo puede el atacante manipular el formulario de inicio de sesión si no tiene acceso a los datos del servidor ...? porque, por ejemplo, si toda la página está programada en php, ¿cómo podría el atacante hacer eso? Podrías darme un ejemplo. Espero haber sido más precisos.

    
pregunta user4237435 10.12.2014 - 04:47
fuente

1 respuesta

0

Tienes razón: faltar TLS es un problema mucho mayor que simplemente modificar la acción del formulario de inicio de sesión. Eche un vistazo al párrafo completo del enlace que proporcionó:

  

La página de inicio de sesión y todas las páginas autenticadas subsiguientes se deben acceder exclusivamente a través de TLS. La página de inicio de sesión inicial, conocida como "página de inicio de inicio de sesión", debe publicarse a través de TLS. Si no se utiliza TLS para la página de inicio de inicio de sesión, un atacante puede modificar la acción del formulario de inicio de sesión, lo que hace que las credenciales del usuario se publiquen en una ubicación arbitraria. Si no se utiliza TLS para las páginas autenticadas después del inicio de sesión, un atacante puede ver la ID de la sesión sin cifrar y poner en peligro la sesión autenticada del usuario

Como @ @ user2313067 señala, OWASP está proporcionando una idea errónea común "que al establecer https en la acción del formulario en una página http, no tiene garantía de que el cliente lo reciba sin modificaciones, y podría apuntar a una página. el atacante controla. Poner https en páginas subsiguientes pero no en el formulario de inicio de sesión solo lo protege contra ataques pasivos "

cargas útiles que un atacante podría entregar porque no había TLS.

Específicamente para responder a sus preguntas:

  1. Sí, la contraseña está expuesta si no puede usar TLS.
  2. No se garantiza que el tráfico de Internet tome una ruta en particular a través de Internet: un paquete puede ir en una dirección y el siguiente paquete puede ir a través de redes totalmente diferentes. Cambiar la acción del formulario evita el riesgo de que la contraseña de la víctima pase por una red diferente y el atacante no pueda interceptarla. Por supuesto, esto no es realmente necesario para comprender por qué es importante faltar criptografía o los conceptos básicos de cómo funciona la intercepción de tráfico de red; agrega complejidad a la discusión particular en cuestión sin necesidad. Se podría discutir mejor en una página diferente. Pero entonces OWASP es gratuito, está dirigido por voluntarios y no parece imponer rigurosamente a ninguna organización real a qué contenido va en qué página.
  3. Sí. Si el tráfico de la red no está cifrado con criptografía fuerte, entonces se puede modificar en vuelo. Hay dos formas principales de hacer esto. Primero, el atacante distribuye la conexión mejor entre usted y el servidor. Ahora estás hablando con el atacante. El atacante puede enviarte lo que quiera. En segundo lugar, el atacante ve la respuesta del servidor cuando viaja en claro a través de la red y la reemplaza con su propia respuesta. Su computadora no puede distinguir la diferencia entre la respuesta válida y la respuesta maliciosa, por lo que solo confía en la primera respuesta que recibe. El atacante paga trucos para asegurarse de que su respuesta se reciba primero y obtendrá la (parte de la) página devuelta por el atacante, no por el servidor.
respondido por el atk 10.12.2014 - 05:08
fuente

Lea otras preguntas en las etiquetas