it-swarm-vi.com

Việc đăng bài từ HTTP lên HTTPS có phải là một thực tiễn xấu?

Hoạt động dựa trên giả định rằng SSL phục vụ cả hai để mã hóa dữ liệu để đảm bảo nhận dạng và tính hợp pháp của trang web, có nên tránh thực hành cung cấp một hình thức đăng nhập trên một trang được yêu cầu qua HTTP, ngay cả khi nó đăng lên HTTPS?

Câu hỏi liên quan đến bài đăng tôi đã thực hiện ngày hôm qua về Ai là người thực hành mật khẩu xấ và một số phản hồi cho thấy không thấy rõ chứng chỉ được trình bày trong trình duyệt trước khi xác thực là tốt nếu thực sự biểu mẫu được đăng an toàn .

Theo tôi, điều này bán SSL ngắn vì bạn không chỉ mất khả năng xác thực tính hợp pháp của trang web trước khi bàn giao thông tin đăng nhập của bạn mà bạn cũng không có gì chắc chắn rằng nó đăng qua HTTPS. Tôi có ý thức những người thích Twitter và Facebook thực hiện phương pháp này, nhưng họ có nên không? Tôi đang xem xét một cái gì đó ở đây hay đây là một thực tế nên được khuyến khích?

Cập nhật: Tôi đã kết thúc chi tiết kết quả của câu hỏi này và thảo luận tiếp theo trong bài đăng trên blog SSL không phải về mã hóa

64
Troy Hunt

OWASP tuyên bố:

(sao chép nguyên văn từ http://www.owasp.org/index.php/SSL_Best_Practices )

Trang đăng nhập an toàn
[.__.] Có một số cân nhắc chính để thiết kế trang đăng nhập an toàn. Văn bản sau đây sẽ giải quyết các cân nhắc liên quan đến SSL.

Đăng nhập phải đăng lên trang SSL Điều này khá rõ ràng. Tên người dùng và mật khẩu phải được đăng qua kết nối SSL. Nếu bạn nhìn vào yếu tố hành động của biểu mẫu thì nó phải là https.

Trang đích đăng nhập phải sử dụng SSL Trang thực tế nơi người dùng điền vào biểu mẫu phải là trang HTTPS. Nếu không, kẻ tấn công có thể sửa đổi trang khi nó được gửi cho người dùng và thay đổi vị trí gửi biểu mẫu hoặc chèn JavaScript để đánh cắp tên người dùng/mật khẩu khi nó được nhập.

Không được có thông báo lỗi hoặc thông báo cảnh báo SSL Sự hiện diện của bất kỳ thông báo cảnh báo SSL nào là thất bại. Một số thông báo lỗi này là mối quan tâm bảo mật hợp pháp; những người khác giải mẫn người dùng trước những lo ngại bảo mật thực sự vì họ mù quáng chấp nhận. Sự hiện diện của bất kỳ thông báo lỗi SSL nào là không thể chấp nhận - ngay cả tên miền không khớp với www.

Các kết nối HTTP sẽ bị hủy Nếu người dùng cố gắng kết nối với phiên bản HTTP của trang đăng nhập, kết nối sẽ bị từ chối. Một chiến lược là tự động chuyển hướng kết nối HTTP sang kết nối HTTPS. Trong khi điều này không đưa người dùng đến trang bảo mật, có một rủi ro kéo dài. Kẻ tấn công thực hiện một người đàn ông trong cuộc tấn công giữa có thể chặn phản hồi chuyển hướng HTTP và đưa người dùng đến một trang thay thế.

Để lặp lại: Trang đích đăng nhập phải sử dụng SSL

58
Tate Hansen

Có thể đáng để thêm rằng có công cụ tự động để thực hiện chính xác những gì thực tiễn tốt nhất của OWASP: "kẻ tấn công có thể sửa đổi trang khi nó được gửi tới người dùng và thay đổi vị trí gửi biểu mẫu ... "Liên kết bao gồm một bài thuyết trình Mũ Đen về cuộc tấn công.

13
PulpSpy

Để thêm vào các câu trả lời đã được cung cấp. Đã có những trường hợp thực tế khi có các trang đích không phải HTTPS cho phép kẻ tấn công sửa đổi trang web và lấy thông tin đăng nhập của người dùng. Ví dụ này , là lần gần đây nhất tôi thấy. Trong trường hợp này, nó đã được thực hiện ở cấp độ ISP, nhưng cũng có thể được thực hiện bởi các nhà cung cấp điểm truy cập không dây hoặc bất kỳ ai sử dụng các công cụ có liên quan để thực hiện cuộc tấn công Man-In-The-Middle.

10
Rory McCune