1. Trang chủ
  2. Câu hỏi và trả lời
  3. Đang thực hiện đăng nhập bằng https nhưng sau đó mọi thứ trong http đều hơi vô nghĩa?

Đang thực hiện đăng nhập bằng https nhưng sau đó mọi thứ trong http đều hơi vô nghĩa?

2010-01-03 20 views
7

Vì vậy, bạn đã thực hiện đăng nhập bằng https để ngăn chặn người đàn ông trong các cuộc tấn công ở giữa và đảm bảo mật khẩu của bạn không được gửi đi rõ ràng. Cuộc gọi tốt. Nhưng nhiều trang web sau đó chuyển trở lại http cho phần còn lại của phiên.Đang thực hiện đăng nhập bằng https nhưng sau đó mọi thứ trong http đều hơi vô nghĩa?

Một khi bạn đang trao đổi mọi thứ rõ ràng, không thể một người đàn ông ở giữa bắt đầu chiếm đoạt phiên của bạn một lần nữa? Được rồi, vì vậy họ không có mật khẩu của bạn nhưng họ không cần nó! Miễn là bạn ở lại đăng nhập vào người đàn ông ở giữa có thể chỉ chiếm quyền điều khiển phiên của bạn và gửi bất cứ yêu cầu nào họ muốn. Phải không?

Các biện pháp nào được áp dụng để ngăn chặn điều này? Hay nó không thực sự là một vấn đề bởi vì cái gì tôi đã bỏ qua? Hoặc, đây có phải là một nguy cơ chấp nhận được không?

Nguồn

2010-01-03 Matthew

+1

IMO, chỉ cần làm tất cả mọi thứ trong HTTPS. Mã hóa hầu như không phải là một nhiệm vụ đắt tiền –

+0

@Jeffrey, trên một trang web bận rộn như google chẳng hạn phí trên SSL có thể tăng lên rất nhiều. Hầu hết các trang web sẽ không có vấn đề đó mặc dù – Glen

+0

có rất nhiều người sẽ không đồng ý với thực tế là mã hóa rẻ! – Matthew

Trả lời

3

Điều đó tùy thuộc vào ý bạn là vô nghĩa. :) Bạn chính xác rằng trong một thiết lập chuẩn, nơi bạn đang tạo một phiên trên HTTPS, và sau đó trở lại HTTP nhưng chuyển một cookie phiên (nói) xung quanh với các yêu cầu của bạn, rằng "lý thuyết trong quán cà phê" lý thuyết có thể trên thực tế, hãy xem dữ liệu của bạn và/hoặc thực hiện các hành động nhân danh bạn.

Nhược điểm của việc sử dụng tất cả SSL (HTTPS) theo truyền thống là nó đắt tiền từ quan điểm tính toán phía máy chủ cũng như tính toán định kỳ phía khách hàng. (Đô la và máy chủ cho trang web, các trang tải chậm hơn cho bạn.)

Do đó, hầu hết trang web trong trang web rõ ràng được xem là "rủi ro có thể chấp nhận được" cho hầu hết các ứng dụng web.

Hai rủi ro bạn gặp phải đang hiển thị dữ liệu của bạn với những người khác và khiến những người khác có thể hành động như bạn (bằng cách sử dụng cookie của bạn mà họ có thể ăn cắp). Khi thiết kế một trang web mới, bạn nên suy nghĩ về những rủi ro tương đối của cả hai thứ này. Lưu ý rằng các tổ chức tài chính sẽ luôn phân phối tất cả các trang của họ qua HTTPS vì rủi ro không được chấp nhận - mỗi trang chứa dữ liệu nhạy cảm và thậm chí nghe lén là xấu. Gmail cũng cung cấp tùy chọn chọn tham gia để nhận HTTPS cho tất cả các phiên. (Facebook không, tuy nhiên, ví dụ: Yahoo Mail).

Bạn có thể nhận thấy rằng nhiều trang web chạy chủ yếu qua HTTP sẽ bảo vệ các thay đổi cài đặt quan trọng bằng xác thực lại mật khẩu. Đây là một lý do tại sao họ làm điều này: ngay cả khi anh chàng trong quán cà phê có thể đọc các bài đăng trên Facebook của bạn, anh ấy không thể thay đổi mật khẩu và khóa bạn mà không biết mật khẩu hiện tại của bạn. Về mặt triết học, tôi đoán rằng theo thời gian, ngày càng nhiều dịch vụ với dữ liệu người dùng cá nhân sẽ được áp dụng để chuyển sang (hoặc cung cấp) tất cả-HTTPS khi mọi người trở nên nhận thức được rủi ro và sử dụng mạng Wifi công cộng tăng lên.

Nguồn

2010-01-04 00:32:04

+0

"incurring tính toán phía khách hàng" Trong khi về mặt kỹ thuật đúng, tôi nghi ngờ rằng mã hóa trên không sẽ làm cho một khác nhau cho khách hàng. Nếu bạn sử dụng một trang web, hiệu suất của bạn hầu như luôn bị hạn chế bởi thông lượng mạng và vì thông lượng của tất cả các mật mã đối xứng hiện đại là các đơn đặt hàng có cường độ cao hơn cả mạng nhanh, không nên chậm thêm. Một bộ xử lý hiện đại có thể dễ dàng giải mã AES ở 50+ MiB/s; Tôi nghi ngờ mạng của bạn là nhanh :-). – sleske

-1

Nếu bắt tay https của bạn bao gồm trao đổi khóa bí mật, người đàn ông ở giữa có thể được ngăn chặn về mặt lý thuyết khỏi bất kỳ tác hại nào, bằng cách chuyển các cân nhắc bảo mật từ lớp vận chuyển đến lớp ứng dụng.

Ví dụ: các bên có thể bao gồm số thứ tự tin nhắn và chữ ký số bằng khóa chia sẻ. Điều đó sẽ ngăn chặn việc phát lại thư, giả mạo thư hiện có và tạo thông báo sai.

Nguồn

2010-01-03 22:38:48

+0

Tôi không thấy làm thế nào, nếu mọi thứ khác được thực hiện trên văn bản rõ ràng? – ZoFreX

+0

đã đồng ý. không có nhiều bạn có thể làm với một khóa bí mật khi bạn trở lại thế giới trong suốt của http. – Matthew

+0

Về mặt lý thuyết: sau khi bạn đã giữ liên lạc an toàn, bạn đã để lại các liên lạc an toàn. – yfeldblum

-2

Bạn có thể thực thi rằng tất cả các yêu cầu đến từ cùng một địa chỉ IP mà xác thực được thực hiện từ đó. Điều này sẽ khiến cho việc tấn công chiếm ưu thế hơn rất nhiều, tôi nghĩ vậy. Khá nhiều trang web làm điều này, hoặc có tùy chọn.

Nguồn

2010-01-03 23:01:50 ZoFreX

+0

một người đàn ông ở giữa có thể giả mạo địa chỉ ip của mình. được cấp, anh sẽ không nhận được bất kỳ câu trả lời nào nhưng anh vẫn có thể gửi yêu cầu của mình. – Matthew

+0

thực sự, nếu anh ta thực sự là "ở giữa" anh ta cũng có thể nhận được câu trả lời. – SpliFF

+0

Tôi lấy từ câu hỏi rằng mục đích của cuộc tấn công là để kiểm soát phiên, như trong thực hiện hành động, không chỉ đơn giản là xem những gì đang xảy ra mà rõ ràng là tầm thường. – ZoFreX

2

Các trang web quan tâm quá ít về bảo mật để không sử dụng SSL một cách nhất quán có khả năng không an toàn theo nhiều cách. Ví dụ: chúng có thể có biểu mẫu đăng nhập được phân phối trên trang không được mã hóa.Kẻ tấn công chỉ đơn giản có thể thay đổi đích gửi bài đăng của https thành mã không được mã hóa và bây giờ anh ta có mật khẩu của bạn.

Khi bạn trao đổi mọi thứ trong rõ ràng không thể có người đàn ông ở giữa bắt đầu cướp lại phiên của bạn một lần nữa?

Có.

Giống như khóa cửa trước của ngôi nhà không có tường bên ngoài.

ngay cả khi anh chàng trong quán cà phê có thể đọc các bài viết Facebook của bạn đi qua, ông không thể thay đổi mật khẩu và khóa bạn ra ngoài mà không biết mật khẩu hiện tại của bạn

Can ông tiếp quản cookie phiên của bạn? Anh ấy có thể thay đổi địa chỉ email của bạn không? Anh ấy có thể yêu cầu email đặt lại mật khẩu không? Anh ấy có thể khiến bạn nói những điều ngu ngốc trong các diễn đàn công cộng không? Có lẽ.

Anh ấy chắc chắn có thể thay thế mọi liên kết https trên mọi trang bằng http. Google cho "SSLStrip". Nhiều khả năng, nạn nhân sẽ không bao giờ kết thúc trên trang https một lần nữa. Vì vậy, khi nạn nhân nhấp vào liên kết "thay đổi mật khẩu của tôi", kẻ tấn công sẽ nhận được mật khẩu cũ (và mới) trong văn bản rõ ràng.

  • Marsh

Nguồn

2010-02-22 16:11:50

Các vấn đề liên quan

 Các vấn đề liên quan