web-dev-qa-db-ja.com

SSLストリップからの保護

同じネットワーク上にいる場合、 sslstrip のようなツールを使用して接続を攻撃できることを確認しました。では、SSL接続を安全に保つために何が必要ですか?

  1. 証明書の強度に依存しますか?
  2. ルーターを制御する必要がありますか? (パイナップルマークIVを使用するような)
5
Travis Thompson

Moxieの「sslstrip」攻撃について話している場合、これはSSLに対する実際の技術的な攻撃よりもユーザー指向の攻撃です。基盤となる暗号化や信頼モデルを壊すことはありません。 (彼は別のツールsslsniffを持っています。これは実際に、信頼と証明書チェックの技術的な実装の一部を攻撃します。)

まず、sslstripで彼のDefconプレゼンテーションをまだご覧になっていない場合は、ご覧ください。 http://www.thoughtcrime.org/software/sslstrip/ 。他に何もなければ、それはセキュリティの欠陥についてどのように理由があるかについての素晴らしい洞察です。

Sslstripの起源は簡単な観察に基づいていました。ほとんどのユーザーは、URLを直接入力したり、ブックマークされたhttps:// URLを入力したりしてもSSLサイトにアクセスしません。ほとんどのユーザーは非SSLサイトに接続してリダイレクト(例:HTTP 302リダイレクト)するか、SSLサイトへのリンクを持つ非SSLサイトに接続してリンクをクリックします。

どちらの場合でも、非SSLサイトは簡単に中間者攻撃になり、ユーザーがリダイレクトされるURLは攻撃者によって静かに変更される可能性があります。例えば。 https://bankofamerica.com/ へのリンクは https://[email protected]/ に変更できます。エンドユーザーには引き続き南京錠と有効な証明書が表示されますが、bankofamerica.comではなくwww.badguy.comの証明書が表示されます。 Moxieは、URLにUnicodeを含む他のクールな要素も示し、エンドユーザーをさらに欺くためにスラッシュのように見えるグリフを見つけましたが、それはほとんどのブラウザで修正されており、問題の根本的な原因に付随しています。

あなたの質問に答えるには:

  1. この攻撃では証明書が危険にさらされることはないため、「強度」はまったく問題になりません。使用されるすべての証明書は、暗号の意味で完全に有効です。

  2. ローカルルーターを所有する必要はありません。ターゲットと同じネットワーク上にいる場合は、ARPスプーフィング攻撃を使用してターゲットを中間者攻撃することができます。

5
Mark E. Haase

SSLストリップを防ぐには:

  • サイト全体でSSLを使用します。つまり、HTTPではなくHTTPSのみを使用します。

  • HSTS(Strict Transport Security)を使用します。これにより、ブラウザはHTTPS経由でのみ接続し、HTTP経由では接続しないように指示されます。

これら2つの保護を使用すると、SSLストリップに対して安全になります。このサイトを検索して、サイトでこれらの保護を適切に有効にする方法についての詳細を確認してください。

5
D.W.