FirebugはSSLトラフィックを復号化しているようです。これは正しい動作ですか?
私の会社では、HSTSプロトコルでホストおよびテストされる小さなWebアプリケーションを作成していました。
私のテスターの1人が、ユーザー名とパスワードがクリアテキストで表示される可能性があるため、安全でないと不満を述べました。 HSTSの実装のため、復号化できないと返信しました。私はwiresharkログを指摘し、それが暗号化されていることを証明しました。
私のテスターは自分のブラウザーのFirebugを指摘し、クリアテキストのユーザー名とパスワードを表示しているので安全ではないと言っていました。
上記から、これが私の分析と質問です:
HSTSはデータがブラウザーからWebサーバーに移動するときにセキュリティを有効にするため、
Firebugは単なるブラウザープラグインであり、フォームフィールド、ユーザー名、パスワードを表示できるようにDOMツリー内のすべてを認識しています。Firebugがdomツリーを識別できないようにすることは可能ですか?Firebugからコンテンツを明らかにすることは本当に脆弱性ですか?はいの場合、どうすれば軽減できますか?
システムのさまざまな部分が提供する保護について、いくつかの混乱があるように思えます。
HSTSは、一定期間、以前にHTTPSを介してサイトにアクセスしたことがあるユーザーにHTTPSを適用します。ユーザーがサイトのHTTPSバージョンにアクセスしたことがなく、サイトがHTTP経由でも利用できる場合(HTTPSへのリダイレクトなし)、何も実行されません-トラフィックは暗号化されません。
Firebugは、復号化後にデータにアクセスします。これはデバッグツールです。ブラウザがそれをはっきりと見ることができれば、Firebugはそれをはっきりと見ることができます。これは脆弱性ではありません。ただし、Webサーバーが送信すべきでないデータ(サーバーからのパスワードなど)を送信している場合を除きます。この場合、脆弱性はFirebugではなくWebサイトにあります。
サーバーからクライアントにパスワードを送信する場合、問題が発生します-これは決して必要ではありません。パスワードは一方向のものと考える必要があります。ユーザーが入力すると、サーバー側でチェックされます。これにより、サーバーが大規模に侵害されることなく、パスワードが発見される可能性が最小限に抑えられます。
NoFirebugはSSLトラフィックを復号化しません。
Firebug 1つの重要な詳細を思い出してください。SSL接続は接続パスでの盗聴に対する保護を提供します。 SSLは暗号化されたトンネル(VPNは別のトンネル)と見なす必要がありますが、トンネルの両端では、すべてが完全にライトアップされていますin clear。
Firebug脆弱性ではないまったく。
- Firebugは、ブラウザーがアクセスできるすべてのものにアクセスできるため、組み込みのパスワードマネージャーやLastpassなどのパスワードマネージャーと同じように、ユーザー名とパスワードにアクセスできます。
- いいえ。Firebugを無効にする場合を除き、FirebugがDOMツリーを使用できないようにすることはできません。 OrangeDogが言うように、Firefoxには組み込みのデバッガが同じことをできるので、アドオンをブロックしても役に立ちません。
- いいえ。Firebugからコンテンツを公開することは脆弱性ではありません。