web-dev-qa-db-ja.com

HTTPSログインとMITM攻撃

http://www.troyhunt.com/2013/05/your-login-form-posts-to-https-but-you.html

私の質問は、誰かがあなたのインターネット接続を制御し、不正なログインページを提供できるという脅威である場合、攻撃者はfacebook.comではなくhttps://www.facebook.comのようなページを提供することはできないのですか?

多くのサイトでは、セキュリティで保護されたサイトへの301リダイレクトしかないため、攻撃者がfacebook.comを入力した被害者を利用して、偽のログインフォームでそのページを表示するのを妨げているものはわかりません。左上隅にロックがないことにユーザーが気付くという考えですか?

私は間違いなくこれの専門家ではないので、私の知識をさらに深めるよう求めています。私は誰かを反証しようとするのではなく、セキュリティをよりよく理解したいのです。

tlsman-in-the-middleproxy
9
tau

はい。攻撃者は単に http://www.facebook.com/ にサービスを提供し、コンピュータとの間のすべての要求と応答を乗っ取ることができます。そのシナリオでは、あなたは正しいです。ユーザーが警戒し、安全にブラウジングしていないことに気づくのはユーザー次第です。

4
Kevin Li

あなたは正しいです。

サイトが攻撃ベクトルを減らすいくつかの方法は...

[〜#〜] hsts [〜#〜] ヘッダーを使用して、データがプレーンテキストでサイトに送信されないようにします。

HTTPS URLのみをアドバタイズし、プレーンテキスト接続は許可しません。これにより、ほとんどのブックマークで暗号化が確実に使用されます。

ポイントは、サイトが最初からSSLを強制する必要があるということです。これは、将来MITMを防ぐのに役立ちます。混合コンテンツフォームを使用する場合、 sslstrip に対して脆弱であるため、提示した状況を保護することはあまりありません。

10
David Houde