¿Es posible interceptar el tráfico https y ver los enlaces?

8

Si un sitio usa https y transfiere la tarjeta de crédito y la identificación del cliente en la url. ¿Un atacante podrá interceptarlos a través de un ataque MITM? Y a través de Sniffing.?

¿Se pueden oler los paquetes de alguna manera para ver los enlaces?

    
pregunta Kratos 31.10.2013 - 13:52
fuente

2 respuestas

8

Si el ataque Man-in-the-Middle tiene éxito, entonces, por definición , el atacante ve todo: el éxito aquí es que el atacante se hace pasar por el cliente y el servidor, por lo que el cliente habla con el atacante, el servidor habla con el atacante, el atacante descifra por un lado y vuelve a encriptar el otro. Con un MitM exitoso, el atacante puede ver los enlaces, el contenido de la página, las contraseñas ...

Pero, por supuesto, SSL ha sido diseñado para vencer los ataques MitM. La protección principal es el certificado del servidor. Para tener éxito en MitM, el atacante debe crear un certificado falso con el nombre del servidor, pero que contenga una clave pública que el atacante controle. El punto central de la CA raíz de confianza y la validación del certificado es para que el cliente no se deje engañar por un certificado de servidor falso.

(Si los usuarios humanos ven la advertencia aterradora de su navegador, "este servidor usa un certificado no confiable" y aún hace clic en el botón "No me importa, me conecto de todos modos", entonces MitM tiene éxito. La seguridad contra MitM está en SSL se basa en la idea de que el usuario humano no hace nada estúpido, como ignorar ese tipo de advertencia.)

Editar: en cuanto a lo que se puede inferir de la inhalación pasiva, esto no incluye la URL solicitada per se ; sin embargo, se pueden inferir algunas cosas:

  • El atacante conocerá el nombre del servidor deseado (la parte "nombre de host" de la URL). Los navegadores modernos lo muestran en texto claro como parte de la extensión Indicación del nombre del servidor . El nombre también aparece en el certificado del servidor, que también se envía como texto simple.

  • El cifrado oculta los datos contenidos , pero no los datos longitud . El atacante puede inferir la longitud de la URL, especialmente si observa varias solicitudes cifradas.

  • Debido a que las longitudes se filtran, el atacante puede ver más o menos cuántos elementos descarga el cliente y sus respectivas longitudes, por ejemplo. imágenes vinculadas. Dependiendo de la estructura del sitio y de si el atacante también puede navegar por el mismo sitio (como, por ejemplo, otro usuario), puede descubrir con gran precisión lo que el usuario objetivo realmente está navegando.

respondido por el Tom Leek 31.10.2013 - 14:02
fuente
2

No, porque se configura un túnel cifrado antes de que se envíen los mensajes (incluidas las solicitudes GET / POST) a través del enlace.

    
respondido por el Lucas Kauffman 31.10.2013 - 13:57
fuente

Lea otras preguntas en las etiquetas