SORU
25 ŞUBAT 2010, PERŞEMBE


Güvenli HTTPS olmadan açma?

HTTPS güvenlik önlemi olarak kullanılabilir olmadığında bir webapplication için, hala biraz güvenli giriş yapmak mümkün mü? E. g.:

  • Giriş, tekrar saldırı yapmak zor Tokenize?
  • Bir şekilde HTML parola alanına gönderilen parolayı şifrelemek?

Özellikle CakePHP ve AJAX POST bir ara kimlik doğrulama içerir (kullanıcı adı ve parola verilir) tetiklemek için kullanıyorum.

Bu sorunla ilgili güncelleştirme:

  • HTTPS kullanılamaz. Dönem. Eğer bu durum hoşuna gitmedi diye, bu teorik bir soru düşünün.
  • HTTP ne olursa olsun açık gereksinimleri vardır, ve PHP bir tarayıcı (çerezler, JavaScript VB.) yok gerçek hayat (sihirli RSA ikili, PGP eklentileri yok) bulunmaktadır.
  • Soru, en iyisi nedir, dışarı yapabilirsinizbudurum, bu parolaları düz metin göndermek daha iyidir. Her tür çözümlerin dezavantajları bilmek bir artı.
  • Herhangi bir iyileşme düz şifreleri daha hoş geldiniz. 100% l33tG0Dhx0r-bölüm fragmanı bir çözüm için amacı yok. Kırılması zor bir önemsiz koklama şifre açığa iyidir kesmek için karmaşık daha iyidir.

CEVAP
25 ŞUBAT 2010, PERŞEMBE


HTTPShayati önemdebir web tarayıcısı arasında güvenli bir bağlantı sürdürmek. Doğru kullanıldığında Public wifi networks put users at risk,,HTTPS sadece bir araçtırthis vulnerability kullanıcı hesaplarını korumak.

Eğer ana HTTPS sonra destek yok eğer doğru değilse Cloudflare Universal SSL gibi bir hizmet tüm tarayıcılar sitenize bağlantı sağlamak için HTTPS kullanarak kullanılabilireğer sunucunuz SSL/TLS desteklemiyor bile. Adıma taşıyacaklarını ve web sitesi arasındaki bağlantı hala korumasız olacak, ama bu adıma taşıyacaklarını hizmet tehditler kamu wifi ağları üzerinde bulunan karşı kullanıcıları korumak için tasarlanmıştır. Eğer trafik teslim olarak temel bir güvenlik gereksinimi sağlayarak değil mi eğer bir penetrasyon test açısından, HTTPS, son derece şüpheli olmaması şartıyla, o zaman ne diğer güvenlik gereksinimlerini eksik? HTTPS certificates can be obtained for free, HTTPS desteği için meşru bir neden yok.

Sadece çok daha fazla çünkü hayati HTTPS "şifre". Bir diğer önemli rolü de gerçek bir sunucu kimliğine bürünüyor kötü niyetli bir sunucu oturum veren bir kullanıcı olmadığım gerektiğidir. Şifre tek başına korumak için bir sistem kullanarak hala saldırgan ihtiyaçlarını (Firesheep) hala düz metin kimlik bilgileri oturum verici olurdu çünküOWASP A9 - Insufficient Transport Layer Protection ihlalidir.

  1. JavaScript-based cryptography cannot be used to construct a secure transport layer.

  2. "Tokenize giriş Eğer bir saldırgan koklama": trafik, düz metin parola ve kullanıcı adı/olacak sadece bu yeni kimlik bilgileri ile giriş yapabilirler. (Replay attack)

  3. "Bir şekilde şifrelemek kişi login olduktan Sonra": iletilen şifre saldırganın geçerli almak için trafiği dinleyebiliroturum kimliği (cookie) ve daha sonra sadece giriş yerine bunu kullanın. Eğer tüm oturum SSL/TLS ile korunan bu bir sorun değildir.

Bu sistem ve geçerli SSL altyapımız hem etkileyen diğer daha karmaşık saldırılar var. SSLStrip saldırı daha ayrıntılı gider. Ben çok HTTP-Strict-Transport-Security standard yol watching Moxie Marlinspike's Blackhat 2009 talk, tavsiye ederim.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • FrankJavCee

    FrankJavCee

    29 Kasım 2008
  • Plugable

    Plugable

    19 Mayıs 2010
  • Samantha Crain

    Samantha Cra

    30 EKİM 2008