¿Por qué no podemos hacer ataques MiTM cuando utilizamos una conexión segura?

6

Tengo esta pregunta tonta que me está molestando. Cuando no se utilizan cookies de conexión segura (HTTP, por ejemplo) se pueden interceptar y utilizar para conectarse al sitio como si tuviéramos el ID y la contraseña. Podemos protegernos contra esto utilizando una conexión segura (https). Esto asegura que las cookies enviadas al servidor estén encriptadas.

Mi pregunta es: ¿por qué un atacante no puede usar las cookies cifradas? ¿Podría un atacante interceptar estas cookies y enviarlas al servidor?

    
pregunta Hunsu 19.05.2014 - 08:38
fuente

3 respuestas

9

La razón por la que un atacante no puede usar las cookies cifradas es que HTTPS cifra toda la conversación HTTP entre el cliente y el servidor, no solo las cookies. (A menos que el atacante haya logrado subvertir las partes clave del intercambio del protocolo, pero esa es una historia para otra pregunta).

Para un ejercicio divertido, use Wireshark y el depurador de su navegador para ver el tráfico de la red cuando visite su sitio HTTPS favorito.

    
respondido por el PlasmaSauna 19.05.2014 - 09:13
fuente
10

Porque no puedes detectar las cookies, e incluso si pudieras, no podrías reutilizarlas.

Una solicitud HTTP real se ve así, y todo está cifrado:

GET /wiki/Main_Page HTTP/1.1
Host: en.wikipedia.org
Accept: text/html,application/xhtml+xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36 OPR/18.0.1284.49
Referer: http://en.wikipedia.org/wiki/Main_Page
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.8
Cookie: centralnotice_bucket=0-4.2; uls-previous-languages=%5B%22en%22%5D
Connection: keep-alive

Tenga en cuenta que la cookie se mezcla con un montón de otras cosas. No puede capturar una cookie encriptada porque no la puede encontrar (está rodeada de cosas que varían de un navegador a otro e incluso de una solicitud a otra). Incluso si pudiera encontrarlo, SSL incluye medidas para evitar que un atacante reenvíe una solicitud (un ataque de repetición ), e incluye un código de autenticación de mensaje (MAC) para evitar que un atacante corte una solicitud y solo use parte de ella.

Además, SSL utiliza una clave de cifrado diferente para cada conexión. Incluso si pudieras capturar las cookies cifradas y omitir el MAC, descubrirías que estaban cifradas con la clave incorrecta para que las utilices.

    
respondido por el Mark 19.05.2014 - 09:16
fuente
0

Si alguien pudiera obtener la cookie, digamos, logrando obtener los datos directamente desde su navegador o recursos humanos (quizás al sentarse frente a su computadora cuando se levanta y se aleja), entonces ciertamente podrían reutilizar su cookie y funcionaría.

Un atacante no puede ver las cookies porque https encripta todo el paquete http, y la cookie se envía como parte del paquete.

Por cierto, otro método que pueden usar los atacantes es intentar engañar a su navegador para que envíe la cookie al servidor a través de http. (Google sslstrip si está interesado en más detalles sobre el ataque). Para evitar que esto ocurra, los servidores pueden marcar una cookie con el indicador "seguro" que le dice al navegador que solo transmita la cookie a través de una conexión SSL segura.

    
respondido por el PopularIsn'tRight 20.05.2014 - 04:30
fuente

Lea otras preguntas en las etiquetas