Http üzerinden gönderilen şifreler için saldırı vektörleri nelerdir?

Bir müşteriyi, giriş gerektiren bir web sitesi için SSL ödemeye ikna etmeye çalışıyorum. Birinin gönderilen şifreleri görebileceği ana senaryoları doğru anladığımdan emin olmak istiyorum.

Anladığım kadarıyla, yol boyunca atlanan herhangi bir şeride gönderilenleri görüntülemek için bir paket analizörü kullanabilirsiniz . Bu, herhangi bir hacker'ın (veya kötü amaçlı yazılımlarının / botnetlerinin), paketin hedefine ulaşmak için atladığı atlamaların herhangi biriyle aynı alt ağda olmasını gerektiriyor gibi görünüyor. Bu doğru mu?

Bu alt ağ gereksiniminin bazı lezzetlerinin doğru olduğunu varsayarsak, tüm şerbetçiotu veya sadece birincisi için endişelenmem gerekir mi? Birincisi, herkesin dinleyebileceğinden beri halka açık bir Wifi ağında olup olmadıkları konusunda endişe duyabileceğim. Ağ trafiği hakkında bir ton bilmiyorum, ancak büyük taşıyıcıların veri merkezlerinden aktığını ve orada çok fazla sulu saldırı vektörü olmadığını varsayarım, ancak yanlışsam lütfen beni düzeltin.

Paket analizörüyle dinleyen birinin dışında endişelenecek başka vektörler var mı?

Ben bir ağ oluşturma ve güvenlik çaylakıyım, bu yüzden bunlardan herhangi birinde yanlış terminoloji kullanıyorsam beni düz ayarlamaktan çekinmeyin.

Başkalarının burada bahsetmediğini not etmek için bir şey, bazı tarayıcıların form verilerinizi önbelleğe almasıdır. SSL sitelerinde varsayılan davranış, "şifremi kaydet" i seçmediğiniz sürece genellikle hiçbir şeyi önbelleğe almamaktır. Genellikle şifre alanları zaten önbelleğe almaz, ancak bazı tuhaflıklar gördüm (genellikle sorunun konusu olmadığını bildiğim kredi kartı bilgileri).

Dikkat edilmesi gereken bir diğer nokta, SSL Şifrelemenin TCP el sıkışmasında başlamasıdır. SSL altına girdikten sonra SSL üzerinden HTTP'yi SSL üzerinden FTP'den ayırt edemezsiniz (bağlantı noktası numarasıyla yapılan varsayımlar dışında).

Ayrıca bir oturum açma isteğini "Sadece göz atıyorum" isteğinden ayırt edemezsiniz, bu sayfa akışını bilgisayar korsanlarından gizler ve ayrıca yalnızca parola verilerinizin güvenli olmasını değil, aynı zamanda tarama geçmişinizin / çerez verilerinizin / hesabınızla birlikte gelen kişisel bilgiler.

Hepsi bir arada , potansiyel adam saldırılarının çoğunu kestiğiniz spektrumdaki ortadaki adam saldırılarını ortadan kaldırırsanız , sitenizin 'güvenli' olduğu anlamına gelmez. Ayrıca imar politikası olmalıdır kullanıcı sizin siteden yeniden yönlendirilir eğer bir bölge-değişiklik yapacağımızı beri XSS saldırılarına karşı korumayı yardımcı olur.

Veriler, yalnızca ilk veya son aşamada değil, güzergah boyunca herhangi bir yerde savunmasızdır. Aktarımda yer alan bir sistemin kullanıcı adlarını, şifreleri ve diğer hassas verileri araştırması oldukça akla yatkındır. Bu nedenle, hassas verilerin yalnızca tamamen güvenli bir bağlantı üzerinden seyahat etmesi gerektiği ve elbette SSL'nin tam olarak ne için olduğu sonucu çıkar. Hangi verilerin dahil edildiğine bağlı olarak SSL'yi dikte eden yerel yasalar olabilir.

Veri depolayabilecek proxy sunucuları vardır.

Ancak, kullanıcıların şifrelerini güvende tutma zorunluluğu da vardır. Birçok kullanıcı sınırlı sayıda parola kullanır, bu nedenle güvenli olmayan bir site örneğin homebank parolalarını tehlikeye atabilir.

Analiziniz makul, IMHO.

Unutulmaması gereken şey, yolunuzda önbelleklerin olabileceğidir. Bu nedenle, istek bir yere kaydedilebilir (özellikle giriş GET'in üzerindeyse, bu korkunç olur).

Muhtemelen dikkate alınması gereken şey, çoğu ağ erişiminin aynı ağda çok sayıda başka insanın bulunduğu bir alanda gerçekleşmesidir. İş / Uni / Okul ana örnekleridir. Evde daha az riskli olduğunu iddia edebilirsiniz, çünkü sadece endişelenmeniz gereken yukarı doğru yollar.

Ama gerçekten, burada soru yok. Giriş yaparken SSL kullanıyorsunuz. Muhtemelen adam için en ilgi çekici argüman, web sitenizin daha güvenilir görünmesini sağlayacak, çünkü - ideal olarak - genel halk asla SSL tabanlı bir giriş ekranı olmayan bir siteye giriş yapmayacak. .

Ama gerçekçi olalım. Neredeyse kesinlikle bu saldırı vektörü, sisteminin veya kullanıcılarının tehlikeye girme şekli değildir.

HTH.

KevinM'in kendi sorularını cevaplamaya yönelik düşüncelerine katılıyorum ve John Gardeniers doğru yönü gösteriyor. İpeksi söylediklerini de kabul etmeliyim, "ideal olarak - genel kamu hiçbir zaman SSL tabanlı bir giriş ekranına sahip olmayan bir siteye giriş yapmaz." Ve bunun çağdaş durum değil hiç.

İpek halkının tonuna (muhtemelen kasıtsız) katılmıyorum, bu da “genel halk” ın aptal olduğu her yerde algılanmasına yol açıyor. KevinM'in müşterisinin açıkça SSL'ye ihtiyacı yoktur ve bu kısaca ortalama insanınızdır. Aptal değiller, sadece bilmiyorlar. "Buna ihtiyacın var" demek, "onsuz x yıl yaşadım ve x'i daha iyi yaşayacağım" ya da belki daha da kötü bir tepki yaşayacağım cevabını yasadışı olarak söylemek, neye ihtiyacım olduğunu söylemekten nefret ediyorum ." Yani dikkatli ol!

Endişeniz meşru, Kevin. Müşterinizin SSL sertifikasına ihtiyacı var. Bence asıl endişeniz onları nasıl satacağınız olmalı. Sadece kullanıcı kaygılanmakla kalmaz, aynı zamanda SSL ile korunmaktan da faydalanacak yönetici ve operatör oturum açar .

Evet, bu konuda endişelenmeniz gereken başka şeyler var, XSS gibi paket koklamadan daha da fazlası . Çok sayıda ve iyi belgelenmişler .

tüm rotanın ardından paketin ardından, HTTP üzerinden koklanabilir ve veriler görülebilirse ... TOR gibi Proxy'de HTTP kullansanız bile ... hasat saldırısı kullanarak. Proxy'yi veri paketlerini sızdırmak için kandırabilir ... bu yüzden hassas olanlara yakın bir şey varsa (şifreler, kişisel detaylar, özel görüntüler, vb.) ... bunları sadece HTTPS üzerinden aktarmak uygundur.

Bu da, HTTPS bile yanlış uygulamaya karşı savunmasızdır ve bunların üzerine uygulanabilen birkaç SSL Saldırısıdır ... yine de dikkatli bir uygulama ile bunlardan kaçınılabilir.

Ancak, düz metin için HTTP kullanmak, acemi n / w çocuklarını bile şifreleri koklamaya davet etmek gibidir.