¿Por qué los sitios web usan HTTPS cuando no lo necesitan? [duplicar]

6

Esto me ha estado molestando por un tiempo, pero me he dado cuenta de que algunos sitios web (el primero que me viene a la mente es XKCD) usan HTTPS sin ninguna razón aparente. Quiero decir, XKCD es gratis y accesible para todos. ¿Por qué demonios cifrarían tu sesión cuando todo lo que estás haciendo es mirar cómics? Parece que la criptografía simplemente consumiría recursos innecesariamente. No pregunto sobre XKCD específicamente, pero he notado algunos sitios web que hacen esto y me pregunto por qué lo harían.

    
pregunta KnightOfNi 06.03.2014 - 23:18
fuente

3 respuestas

10

Una respuesta es que SSL también previene / disuade a los ataques MITM (Man-In-The-Middle). En teoría, SSL garantiza que el mensaje se originó en XKCD y llegó a usted sin ser manipulado. Un mal actor que puede interceptar el tráfico entre usted y XKCD no puede inyectar código para ejecutarse en su máquina.

Basándose en los comentarios, el hecho de poder insertar código para ejecutar el lado del cliente es bastante poderoso. Puedes recoger mucha información de esto. Además, puede forzar a un navegador cliente para que hable con páginas / sitios que normalmente no lo haría.

Sin embargo, quiero señalar que SSL no es 100% en este caso y existen ataques como sslstrip que pueden evitar el hecho de que se esté utilizando SSL.

    
respondido por el CtrlDot 06.03.2014 - 23:26
fuente
4

Como dijo CtrlDot, el uso de TLS (SSL es el término más antiguo, ya nadie usa SSL pero el nombre se ha atascado) es bueno no solo para evitar el espionaje, sino también para prevenir ataques MITM que pueden inyectar código malicioso. Ahora, algunas personas pueden estar diciendo que eso es difícil, pero en realidad no lo es. Puede comprar "kits de explotación" de mercados negros que son kits de herramientas de actualización automática pagados por suscripción que puede colocar en un sitio web comprometido (o MITMed) o malicioso que escaneará automáticamente un objetivo que se conecta, evaluar si son vulnerables y a qué explotaciones son vulnerables, luego despliegan automáticamente el exploit más efectivo para controlar su computadora (los kits de exploits más económicos solo intentan ejecutar todos los exploits que tienen con la esperanza de que funcione). Cuanto más caro es el kit de explotación, más nuevos y de mayor calidad tienen las vulnerabilidades que tienen. Los más caros pueden tener 0 días que su navegador o antivirus no pueden defender. Así que no asumas que alguien tendría que encontrar algún exploit raro, porque ya está hecho regularmente. Para responder a los comentarios de otra publicación que dice "Por lo tanto, es posible que pueda obtener algunos archivos no protegidos de un usuario inexperto. Todo lo demás se puede recopilar sin tener que preocuparse por un ataque activo", la respuesta es que es fácil eliminar los archivos un usuario inexperto, o incluso un usuario experimentado (sugerencia de pista, los usuarios experimentados tienen más probabilidades de usar TLS siempre que puedan). No necesitas ser un experto y crear tus propios días, solo tienes que tener algo de dinero, y mucha gente lo hace. Y, como también se ha dicho, no siempre es necesario explotar completamente la computadora de su víctima para obtener lo que está buscando ...

Además, aunque dice que sslstrip puede omitir TLS, en realidad esto no es muy fácil de realizar, todo lo que realmente hace es redirigirlo a la versión sin https (es decir, es como una extensión remota "HTTPS Nowhere") . Si está atento y el sitio web utiliza TLS correctamente (no usa un certificado autofirmado, etc.), no debería ser un problema.

    
respondido por el NotTheNSA 07.03.2014 - 01:51
fuente
1

No quiero que nadie vea mi tráfico ... no importa lo que sea. Estoy seguro de que algunos dirán que mi respuesta no responde a tu pregunta, pero a mí sí.

    
respondido por el user1801810 06.03.2014 - 23:24
fuente

Lea otras preguntas en las etiquetas