http://news.google.com
Por supuesto, si ya ha iniciado sesión en una cuenta de Google para esa sesión del navegador, se sirve encriptado.
Entonces, cuando un usuario visita una página de Google Noticias sin cifrar, y teniendo en cuenta que hay un botón de inicio de sesión de Google en la página, ¿los usuarios son vulnerables a un ataque MITM de SSLStrip si eligen iniciar sesión desde esa página?
¿Los usuarios son vulnerables a un ataque MITM de SSLStrip si eligen iniciar sesión desde esa página?
Sí y no. Los usuarios no son más o menos vulnerables de lo que son al hacer clic en un enlace en cualquier página no segura.
Todos los inicios de sesión de Google se procesan a través de accounts.google.com , que no solo tiene HSTS activado, sino que también tiene su clave pública en los navegadores modernos. Por lo tanto, un MITM en la página login no es práctico.
Dicho esto, el atacante no usaría accounts.google.com como su dominio de phishing, usaría algún sitio pirateado de wordpress en algún lugar si el historial es un indicio. Por lo tanto, la seguridad de la página de inicio de sesión no puede salvar a todos.
Y, de hecho, la seguridad de news.google.com tampoco es particularmente relevante si el usuario no está agregando explícitamente HTTPS al frente; siempre que ese dominio no tenga HSTS habilitado, SSLStrip puede hacer su magia sucia.
Y esa es una especie de distinción importante: el hecho de que su sitio sea HTTPS no protege a sus usuarios contra SSLStrip; El punto completo de SSLStrip es demostrar que el servicio de su sitio a través de HTTPS no ayuda a los usuarios que acceden a ese sitio desde un enlace no seguro.
HSTS protege a los usuarios que escriben el nombre de su sitio en su navegador, pero incluso eso no protege a todos. Tome Facebook, por ejemplo, que es SSL y HSTS a través de y a través. Por lo tanto, podría decir que los usuarios de Facebook están protegidos, pero un sitio de phishing no va a usar facebook.com como su URL; Usará la URL de cualquier sitio que el atacante haya secuestrado para alojar su ataque. Ciertamente, la discrepancia es visible para cualquiera que verifique la URL, pero estadísticamente muy pocas personas lo hacen.
Así que sí, los usuarios son vulnerables. Los usuarios siempre serán vulnerables. Si va a invertir dinero en una solución para proteger a sus usuarios, haga lo siguiente:
Se podrían guardar las contraseñas, el último paso, el dispositivo U2F de Google o cualquier sistema de autenticación que rechace la autenticación intento si el navegador no ha verificado la autenticidad de la página de inicio de sesión.
Si haces esas 2 cosas, los usuarios están absolutamente protegidos.
El sitio enlace se entrega a través de http. La página de inicio de sesión real detrás del botón es:
<a class="gb_7c gb_ya gb_xa" id="gb_70" href="https://www.google.com/accounts/ServiceLogin?service=news&passive=1209600&continue=http://news.google.com/&followup=http://news.google.com/&hl=en" target="_top">Sign in</a>
Pero el ataque SSLstrip no funcionaría exactamente. El solo hecho de reemplazar https con http no hace que Google entregue la página de inicio de sesión sin cifrar. Si lo intentas, obtienes la versión https como se explica en jas- . Google puede imponer el uso de TLS para cualquiera de sus sitios web y seguramente lo hacen para la página de inicio de sesión.
Puede estar en lo cierto al decir que un MITM sería posible para el sitio de noticias cuando se acceda directamente a través de enlace , pero eso no es el predeterminado comportamiento. En realidad, Google ofrece el sitio a través de https de forma predeterminada cuando navega por el sitio y, como la página principal de Google también se entrega a través de https, esto significa que debe guardar contra SSLstrip y MITM, en ese contexto (sin tener en cuenta los ataques contra TLS).
Lo que podría ser crítico si su navegador no es compatible con las versiones actuales de TLS. En este caso, algunos sitios web de partes pueden enviarse a través de http como modo de reserva, pero no estoy seguro de que ese sea el caso de Google. Ciertamente no sucede en la página de inicio de sesión.
En ese caso, o al usar enlace , puede crear un escenario en el que podría usar MITM pero no SSLstrip. Por lo tanto, un atacante podría alterar las noticias, pero no podría ver sus credenciales.
Si no se cambiaron las configuraciones deliberadamente, deberías guardarlas.
Bueno, en teoría, no hay necesidad de que HTTPS navegue en ese tipo de material ... sin embargo, estoy bastante seguro de que Google activó HTTPS para todas las búsquedas, incluso las que no son sensibles.
Para aclarar, si solo vas a www.google.com, es de hecho HTTPS.
¿Los usuarios son vulnerables a un ataque MITM de SSLStrip si eligen iniciar sesión desde esa página?
No. Si comienza a grabar y / o ver las solicitudes de la página de la red, verá que news.google.com buscará un token de autenticación al que hace referencia una cookie para la versión https de su sitio que no puede encontrar debido a la capacidad de lectura del protocolo sin estado. / modifique otros datos de cookies de dominios (en este caso enlace en lugar de enlace ) se adhiere a las restricciones de seguridad de las políticas del mismo origen.
En ese momento se realiza una solicitud para la página de autenticación a través de TLS.
Lea otras preguntas en las etiquetas tls google web-service