¿Por qué algunos sitios web imponen la falta de SSL?

Navega tus respuestas
41

Al intentar visitar enlace , noté que me redireccionaban a HTTP inmediatamente. Esto es lo que dice la CURL sobre eso: 

$ curl --max-redirs 0 -v -L https://www.ebay.com
* Rebuilt URL to: https://www.ebay.com/
* Adding handle: conn: 0x6c8cc0
* Adding handle: send: 0
* Adding handle: recv: 0
* Curl_addHandleToPipeline: length: 1
* - Conn 0 (0x6c8cc0) send_pipe: 1, recv_pipe: 0
* About to connect() to www.ebay.com port 443 (#0)
*   Trying 66.135.210.61...
* Connected to www.ebay.com (66.135.210.61) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* SSL connection using SSL_RSA_WITH_RC4_128_MD5
* Server certificate:
*       subject: CN=www.ebay.com,OU=Site Operations,O=eBay Inc.,L=San Jose,ST=California,C=US
*       start date: Jun 06 00:00:00 2013 GMT
*       expire date: Jun 07 23:59:59 2014 GMT
*       common name: www.ebay.com
*       issuer: CN=VeriSign Class 3 Secure Server CA - G3,OU=Terms of use at https://www.verisign.com/rpa (c)10,OU=VeriSign Trust Network,O="VeriSign, Inc.",C=US
> GET / HTTP/1.1
> User-Agent: curl/7.32.0
> Host: www.ebay.com
> Accept: */*
> 
< HTTP/1.1 301 Moved Permanently
< Location: http://www.ebay.com/
* no chunk, no close, no size. Assume close to signal end
< 
* Closing connection 0
* Maximum (0) redirects followed
curl: (47) Maximum (0) redirects followed

¿Por qué los sitios web forzarían el texto simple HTTP mientras que soportan SSL, exponiendo así los hábitos de navegación del usuario a las escuchas ilegales?

    
pregunta d33tah 12.03.2014 - 20:30
fuente

5 respuestas

40

Hay algunas razones (no necesariamente buenas buenas , pero no obstante, razones) para preferir HTTP sobre HTTPS. Si estas razones se aplican, entonces tiene sentido forzar el uso de HTTP incluso cuando el cliente parece querer usar HTTPS.

Una razón (por lo general) mala para preferir HTTP es la que comúnmente se expresa en este debate: a menudo se supone que SSL es alto, tanto por el costo computacional del cifrado, como por sus consecuencias en el almacenamiento en caché (aunque es es posible almacenar en caché las páginas servidas a través de HTTPS, la capa SSL evita algunos trucos como proxies transparentes , que comúnmente se aplican por ISP). El costo computacional está sobrevalorado (solía ser un cuello de botella en los tiempos de las máquinas 3DES y Pentium de 90 MHz con Ethernet rápida, pero las cosas han cambiado desde entonces). En cuanto al almacenamiento en caché, un punto a destacar es que es cada vez más irrelevante cuando las páginas se vuelven más dinámicas.

Podemos imaginar, sin embargo, que Ebay quiere fomentar el uso de servidores proxy basados en ISP para todas las imágenes de elementos que sirven. Puedo concebir fácilmente que estas imágenes consumen una parte sustancial del ancho de banda de la red de Ebay. La aplicación de HTTP simple maximiza la probabilidad de que se realice el almacenamiento en caché, lo que ahorra dinero del lado de Ebay.

Una razón menos mala para preferir HTTP es permitir un análisis automático más fácil de los datos en busca de contenido no deseado y detección de intrusos. SSL es de extremo a extremo, por lo que si tal escaneo se aplica en un mundo HTTPS, entonces debe ocurrir en uno de los extremos, lo que puede ser inconveniente en una arquitectura grande dada.

En cuanto a la privacidad de sus hábitos de navegación, no creo que Ebay se preocupe por eso. De hecho, por su construcción, están ansiosos por aprender, analizar, perfilar y posiblemente vender sus hábitos de navegación (los anunciantes pagan por dicha información). Por lo tanto, no parece razonable esperar que Ebay proteja activamente su privacidad, ya que parte de su modelo de negocio es exactamente lo contrario.

    
respondido por el Thomas Pornin 12.03.2014 - 22:33
fuente
22

Hablando por experiencia personal: administré un sitio web que quería enviar todos los datos del formulario a través de una conexión https segura. Sin embargo, debido a una variedad de razones, otras páginas mostraron contenido no seguro que no pudimos gestionar para trabajar a través de https.

Esto condujo a grandes señales de advertencia en Firefox y Chrome (ESTE SITIO CONTIENE ELEMENTOS NO SEGUROS con gritos de exclamación en la barra de direcciones y otros) que para los no iniciados parecían aterradores, aunque no sucedía nada sospechoso.

Para evitar enviar el mensaje equivocado, simplemente redirigimos el tráfico a través de http para las páginas que no enviaron ningún dato del cliente.

Ebay parece estar haciendo lo mismo: cuando los datos se ingresan en un formulario y se transmiten, siempre es https.

Aunque, para ser honesto, en nuestro caso nos faltó presupuesto para revisar todas las páginas y corregir los elementos inseguros que realmente deberían haber sido el camino a seguir.

La única otra razón que se me ocurre sería el rendimiento: estrictamente hablando, SSL es más lento.

En resumen: puedo imaginar razones para redirigir el tráfico a través de http, pero en mi caso, definitivamente no fue la mejor práctica.

    
respondido por el user3244085 12.03.2014 - 22:34
fuente
14

Es difícil dar una respuesta buena , ya que podría decirse que no hay ninguna razón buena para hacer esto.

Si tuviera que enumerar los pros y no los contras, diría esto:

Si un sitio no quiere que los usuarios que intentan visitarlo a través de https piensen que está inactivo y tiene soporte SSL para algunas funciones, como el inicio de sesión, pero cree que no tiene o no desea soporte La infraestructura permite que todo el contenido pase a través de SSL, entonces podría intentar hacer esto.

Durante mucho tiempo, se creía comúnmente que el mito de que SSL requería mucho más hardware que el HTTP normal. Una vieja decisión no puede ser revisada.

Los sitios almacenados en caché tendrán menos carga si los servidores proxy de almacenamiento en caché pueden asumir parte de la carga, lo cual es imposible cuando SSL está activo.

Herramientas de conservación de ancho de banda como la compresión opcional en Opera y Chrome no funciona con contenido servido sobre SSL.

    
respondido por el Matthew Elvey 12.03.2014 - 22:33
fuente
1

Es muy probable que retenga la utilidad de almacenamiento en caché y reduzca la carga involucrada en las enormes cantidades de rastreo de arañas necesarias para mantener las búsquedas externas actualizadas.

La parte mala no es tanto que un tercero pueda ver qué página visitó (la red de utilidades analíticas instaladas en todo el lugar que informa a Google ya garantiza que se realice un seguimiento en casi todas partes), pero eso El rebote entre HTTP y HTTPS proporciona múltiples puntos para desviar de un sitio HTTP no autenticado a un sitio HTTPS falso con un certificado falso. El riesgo no es el seguimiento, y no es realmente la exposición del contenido en las páginas HTTP, es que este tipo de rebote de ida y vuelta debilita la sensación de que el usuario tiene conciencia de la amenaza.

Es mucho más difícil para el usuario promedio entender que hay una apertura alarmante cada vez que se produce HTTPS- > HTTP- > HTTPS, especialmente porque esto ocurre para la mayoría de las personas después de iniciar sesión y autenticarse en el servidor.

"Oh, mira, acaba de aparecer una advertencia de certificado. Raro. Pero he iniciado sesión todo este tiempo (inmediatamente presiona el botón 'descartar / agregar permanentemente la excepción')"

Una mejor solución sería hacer que todas las partes públicas (visibles para usuarios anónimos) del sitio estén disponibles a través de HTTP y HTTPS para mantener felices a los motores de búsqueda y las arañas que rastrean las páginas de baja carga, pero nunca redireccionar a nadie una vez que crucen a HTTPS. Sin embargo, si realmente se preocuparan por la seguridad, nunca redireccionarían automáticamente de HTTP a HTTPS, ese tipo de redirección automática es una oportunidad para configurar un ataque MITM cada vez, e incluso los bancos lo hacen.

    
respondido por el zxq9 13.03.2014 - 23:11
fuente
1

Desde la perspectiva de la experiencia del usuario, si un usuario ve SSL y visualiza la seguridad, tiende a ser innecesariamente cauteloso.

Por ejemplo, si tiene un sitio web con una imagen de un candado en la página de inicio que dice "Estamos seguros", las tasas de conversión disminuyen . Mantener ese mecanismo oculto al usuario no siempre es una mala idea, y si el intercambio de contraseñas y la autenticación se implementan correctamente, entonces no es un problema de seguridad.

También podemos imaginar cómo un atacante puede tardar más en piratear eBay si eBay oculta sus protocolos de seguridad, ya que parecen ser débiles cuando en realidad deben tener algunas líneas de seguridad bastante formidables.

  

Aparece débil cuando eres fuerte, y fuerte cuando eres débil

     

- Sun Tzu, El arte de la guerra

    
respondido por el OneChillDude 14.03.2014 - 00:45
fuente

Lea otras preguntas en las etiquetas

¿Cómo prevenir los ataques BadUSB en el escritorio de Linux? ¿Cómo detectar si soy vulnerable a "Superfish" y cómo eliminarlo?