0

所以这是一个有点宽泛的问题,我知道,但我希望比我更聪明的人能提供一个总结答案,帮助我总结 SSL 的所有细节。

最近我看了一段 Moxie Marlinspike 在 BlackHat 做演讲的视频,一小时结束后,我心想,“我做什么并不重要。对于一个坚定的黑客来说,总有办法进来的。” 我记得他的最后一个示例,在该示例中,他演示了即使在用户输入 HTTP 地址直接转到 HTTPS 时使用重定向,攻击者仍有机会通过 MITM 插入自己。

因此,如果浏览器始终默认使用 HTTP,而用户很少直接在地址栏中输入 HTTPS 地址,那么监听对银行 X 网站的访问的攻击者将始终有机会在 HTTP -> HTTPS 重定向期间获得控制权。我认为他们必须在同一个网络上,但这并不是什么安慰。似乎 Marlinspike 的观点是,除非我们直接将 HTTPS 作为标准而不是替代方案,否则这将始终是一个问题。

我是否正确理解这一点?如果攻击者可以在过渡期间使用 MITM 来获得控制权,那么重定向到 HTTPS 的意义何在?有没有人知道可以采取哪些预防措施来保护自己?通过混淆 HTTPS 链接的 javascript 重定向(因此它们不能在传输过程中被剥离)会有所帮助吗?任何想法将不胜感激!

4

2 回答 2

1

您可以使用HSTS告诉浏览器必须始终使用 HTTPS 访问您的站点。

只要浏览器的第一个 HTTP 连接没有受到攻击,所有未来的连接都将直接通过 HTTPS,即使用户没有在地址栏中键入 HTTPS。

于 2013-01-31T14:54:36.280 回答
0

如果在服务器端正确实施,HTTP/HTTPS 重定向中实际上没有任何信息泄漏(即,如果所有危险的 cookie 都被标记为“仅限 HTTPS”并且 JavaScript 无法访问)。当然,如果最终用户对安全一无所知,它可能会被黑客入侵,但另一方面,如果您的用户甚至不知道基本的安全规则并且没有系统管理员向用户解释它,它有可能以多种方式破解此类用户,以至于 HTTP 到 HTTPS 重定向问题并不是真正的麻烦。我看到许多用户从服务器下载并运行未知的 EXE 文件只是为了承诺“赢得 1000,000 美元”,这也是破解它们的好方法(甚至比利用重定向更好,如果你在用户计算机上作为 EXE 运行,您已经是这里的王者,可以在默认安全设置下窃取任何用户 cookie)。因此,如果用户与黑客合作并帮助黑客入侵他自己的计算机,是的,这样的用户将成功被黑客入侵,但安全性是关于准备好保护自己的专业人员,而不是关于可能在 Blogpost 某处发布他的 PayPal cookie 的用户之后他惊讶地发现他被黑了。

于 2013-01-31T15:36:45.367 回答