¿Qué tan segura es esta página de inicio de sesión? [cerrado]

Navega tus respuestas
-1

Lamentablemente no puedo enlazar a la página (es interna). ¡Pero puedo describirlo!

Esta es una página de inicio de sesión de aplicación de políticas de sistemas de velocidad de la luz (filtro de contenido).

La página es http y no hay iframe con ssl. El formulario de inicio de sesión se publica en una función javascript.

Así que aquí está mi pregunta:

¿Podría esta página ser segura y, si es así, cómo?

    
pregunta November 19.09.2012 - 22:39
fuente

4 respuestas

3

No. Si la página y los scripts no se entregaron de forma segura en primer lugar, siempre existe la posibilidad de que un tercero haya modificado el contenido. Asegurar el iframe no es suficiente, ya que el contenido no protegido aún podría contener scripts maliciosos.

Tenga en cuenta que esto no significa que su información se verá comprometida si utiliza este inicio de sesión, simplemente que existe la posibilidad.

    
respondido por el Jonathan Garber 19.09.2012 - 22:47
fuente
2

Respuesta corta: no, puede reemplazar el javascript utilizando un ataque MITM con el código que desee.

    
respondido por el Lucas Kauffman 19.09.2012 - 22:51
fuente
1

Últimamente no.

Aunque muchos charlatanes dirían que si publican en una URL SSL, entonces podría ser seguro, esto es totalmente erróneo:

  1. El usuario no sabe que hace esto y, para averiguarlo, necesita algún elemento de habilidad.
  2. Un hombre activo en el medio puede modificar la página y / o JavaScript para no publicar más en una URL segura con la suficiente facilidad.
  3. El cifrado de JavaScript es una situación de este tipo que ni siquiera puede comenzar a estar segura por las mismas razones.
  4. Si otras páginas no están cifradas después de iniciar sesión, no se puede configurar el bit de seguridad en la cookie y, por lo tanto, es vulnerable al secuestro de sesión.
respondido por el ewanm89 19.09.2012 - 22:47
fuente
1

Una página sin TLS (también conocida como SSL) no es segura contra los ataques ilegales o los ataques Man-in-the-Middle. No les daría ninguna información que quiera mantener en secreto como números de tarjetas de crédito o contraseñas que no quiero que caigan en manos de un atacante. Sin embargo, diré que use contraseñas tontas para las cuentas que no me preocupa caer en manos de un atacante (como una cuenta gratuita para leer los artículos de Washington).

Por supuesto, eso no significa que cualquier usuario de la red siempre pueda trivialmente para escuchar / lanzar un ataque MitM. Por ejemplo, la mayoría de las LAN están configuradas en una topología de red en estrella, lo que significa que a menos que tenga acceso al conmutador central (normalmente solo administradores o personas que trabajan en un ISP), no es fácil escucharlo.

Por supuesto, el wifi sin cifrar es diferente y hace que sea fácil de escuchar. Incluso wifi con un esquema de seguridad roto como WEP o donde conoce la clave compartida previamente y observe el protocolo de enlace WPA que genera la clave transitoria de pares.

    
respondido por el dr jimbob 19.09.2012 - 23:11
fuente

Lea otras preguntas en las etiquetas

backtrack o kali linux ??? ¿Cuál es mejor para un probador de la pluma del principiante? [cerrado] ¿Cuál es la diferencia entre el cracking y el hacking ético?