【问题标题】:Is it possible to establish a secure connection with a user, even by redirecting to HTTPS?是否可以与用户建立安全连接,即使重定向到 HTTPS?
【发布时间】:2013-01-31 23:36:45
【问题描述】:

所以这是一个有点宽泛的问题,我知道,但我希望比我更聪明的人能够提供一个总结答案,帮助我总结 SSL 的所有细节。

最近,我观看了 Moxie Marlinspike 在 BlackHat 上发表演讲的视频,一小时后,我心想:“我做什么并不重要。对于一个坚定的黑客来说,总有办法。 "我记得他的最后一个示例,在该示例中,他演示了即使在用户输入 HTTP 地址直接转到 HTTPS 时使用重定向,攻击者仍有机会通过 MITM 插入自己。

因此,如果浏览器始终默认使用 HTTP,并且用户很少直接在地址栏中输入 HTTPS 地址,那么监听对银行 X 网站的访问的攻击者将始终有机会在 HTTP -> HTTPS 重定向到获得控制权。我认为他们必须在同一个网络上,但这并不是什么安慰。似乎 Marlinspike 的观点是,除非我们直接将 HTTPS 作为标准而不是替代方案,否则这将始终是个问题。

我理解正确吗?如果攻击者可以在过渡期间使用 MITM 来获得控制权,那么重定向到 HTTPS 的意义何在?有没有人知道可以采取哪些预防措施来保护自己?通过混淆 HTTPS 链接的 javascript 重定向(因此它们不能在传输过程中被剥离)会有所帮助吗?任何想法将不胜感激!

【问题讨论】:

  • 我不明白是什么问题?所以我打开 http://securesite.com,它把我重定向到 https://securesite.com,黑客和我在同一个网络上,那现在怎么办?如果服务器立即重定向而不显示任何内容,黑客如何获取我的数据?
  • @VASoftOnline:黑客可以拦截初始HTTP请求,并在第一时间阻止重定向。
  • 好的,它可以防止重定向;现在怎么办?我看到我不在我应该去的 https://securesite.com 上,所以我看到我被黑了,这不好,但我没有丢失任何东西;现在我去报警。黑客这样做比我更危险,不是吗?
  • @VASoftOnline:你看到了;大多数用户没有注意到这一点。

标签: security redirect https man-in-the-middle


【解决方案1】:

您可以使用HSTS 告诉浏览器必须始终使用 HTTPS 访问您的网站。

只要浏览器的第一个 HTTP 连接没有受到攻击,以后所有的连接都将直接通过 HTTPS,即使用户没有在地址栏中键入 HTTPS。

【讨论】:

  • 但是,如果攻击者设置为监视并自动拦截在初始 HTTP 连接上指向 Paypal 的任何连接,那么他会发现 99.9% 的用户打开了大门,他们不这样做t输入https,对吗?如果有人碰巧在窥探,那么最初的连接似乎是一个关键的弱点,没有很好的防御措施。
  • 另一方面,我喜欢 HSTS 的想法,但这会让用户感到不安,必须输入 https。似乎我们需要改变对安全性的思考。当您输入网址时,也许 SSL 应该是标准,并且您应该能够明确标记某些元素(即大量媒体文件)以明文发送。也许我们需要对事情进行彻底的重新思考。
  • @user1630830:希望初始连接将在用户家中安全进行。
【解决方案2】:

如果在服务器端正确实施,HTTP/HTTPS 重定向中实际上没有任何信息泄漏(即,如果所有危险的 cookie 都被标记为“仅限 HTTPS”并且 JavaScript 无法访问)。 当然,如果最终用户对安全一无所知,它可能会被黑客入侵,但另一方面,如果您的用户甚至不知道基本的安全规则,并且没有系统管理员向用户解释它,它有可能以多种方式破解此类用户,以至于 HTTP 到 HTTPS 重定向问题并不是真正的麻烦。 我看到很多用户从服务器下载并运行未知的 EXE 文件只是为了承诺“赢得 1000000 美元”,这也是破解它们的好方法(甚至比利用重定向更好,如果你在用户计算机上作为 EXE 运行,你已经是这里的王者,并且可以在默认安全设置下窃取任何用户 cookie)。 因此,如果用户与黑客合作并帮助黑客入侵他自己的计算机,是的,这样的用户将成功被黑客入侵,但安全性是关于准备好保护自己的专业人员,而不是关于可能在 Blogpost 某处发布他的 PayPal cookie 的用户然后惊讶地发现他被黑了。

【讨论】:

    猜你喜欢
    • 2013-02-28
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2016-12-13
    • 2021-11-05
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多