Які вектори атак для паролів, що надсилаються через http?

Я намагаюся переконати клієнта заплатити за SSL за веб-сайт, який вимагає входу. Я хочу переконатися, що я правильно розумію основні сценарії, в яких хтось може бачити паролі, які надсилаються.

Я розумію, що в будь-якому з хмелів по дорозі можна використовувати аналізатор пакетів, щоб переглянути те, що надсилається. Здається, це вимагає, щоб будь-який хакер (або його зловмисне програмне забезпечення / ботнет) знаходився в тій самій підмережі, що і будь-який з хмелів, який потрібен пакет, щоб прибути до місця призначення. Це так?

Якщо припустити, що деякий смак цієї вимоги до підмережі справджується, чи потрібно хвилюватися про всі хмелі чи лише про перший? Перший, про який я, очевидно, можу переживати, якщо вони перебувають у загальнодоступній мережі Wi-Fi, оскільки хтось може слухати. Чи повинен я турбуватися про те, що відбувається в підмережах, що пакети будуть подорожувати за межами цього? Я не знаю багато про мережевий трафік, але я б припустив, що він проходить через центри обробки даних основних операторів, і там не так багато соковитих векторів атак, але, будь ласка, виправте мене, якщо я помиляюся.

Чи є інші вектори, про які слід турбуватися поза тим, хто слухає аналізатор пакетів?

Я є нобієм з питань мереж та безпеки, тому, будь ласка, не соромтесь встановлювати мене, якщо я використовую неправильну термінологію в будь-якому з цього.

Щось зауважити, що інші не згадували тут, це те, що деякі браузери кешують ваші дані форми. Поведінка за замовчуванням на сайтах SSL зазвичай полягає в тому, щоб нічого не кешувати, якщо ви не вибрали "зберегти мій пароль". Зазвичай поля паролів у будь-якому випадку не кешуються, але я бачив деякі дивацтва (як правило, інформація про кредитні картки, яка, як я знаю, насправді не тема питання).

Інша річ, яку слід зазначити, це те, що шифрування SSL починається з рукостискання TCP. Опинившись під SSL, ви не зможете відрізнити HTTP через SSL від FTP через SSL (окрім припущень, зроблених через номер порту).

Ви також не можете відрізнити запит на вхід від запиту "Я просто переглядаю", це оскалює потік сторінок від потенційних хакерів, а також гарантує безпеку не лише ваших даних пароля, але й вашої історії перегляду / даних cookie / та будь-яких особисту інформацію, яка йде разом з вашим обліковим записом

Якщо ви ліквідуєте атаки " середніх" із спектру, ви скоротите багато потенційних атак, але це не означає, що ваш сайт "безпечний". Також політика зонування повинна допомогти захистити вас від атак XSS, оскільки ви будете робити зміни в зоні, якщо ваш користувач буде перенаправлений з вашого сайту.

Дані вразливі в будь-якому місці маршруту, а не лише на першому чи останньому етапі. Цілком можливо, що система, що бере участь у передачі, шукає імена користувачів, паролі та інші конфіденційні дані. Звідси випливає, що конфіденційні дані повинні переходити лише через посилання, яке захищене до кінця, і, звичайно, саме для цього SSL. Залежно від того, які дані задіяні, цілком може існувати місцеве законодавство, яке диктує SSL.

Є проксі-сервери, які можуть зберігати дані.

Але також є обов'язок зберігати паролі користувачів у безпеці. Багато користувачів використовують обмежений набір паролів, тому небезпечний сайт, наприклад, може поставити під загрозу пароль свого домашнього банку.

Ваш аналіз розумний, ІМХО.

Я маю на увазі, що я маю на увазі, що на вашому шляху можуть бути кеші. Тож може статися, що запит десь реєструється (особливо якщо логін над GET, що було б жахливо).

Можливо, варто враховувати, що більшість доступ до мережі відбувається в районі, де в одній мережі є багато інших людей. Робота / Uni / School є основними прикладами. Вдома ви можете стверджувати, що це менш ризиковано, тому що вам належить турбуватися лише стежками вгору.

Але насправді тут немає жодного питання. Ви використовуєте SSL під час входу в систему. Напевно, найбільш вагомим аргументом для хлопця є те, що він робить ваш веб-сайт здається більш надійним, оскільки - в ідеалі - широка громадськість ніколи не входитиме на сайт, на якому немає екрана входу на основі SSL. .

Але давайте реалістично. Майже напевно цей вектор атаки не є таким чином, коли його система чи користувачі будуть порушені.

HTH.

Я можу погодитися з міркуваннями КевінМ щодо відповіді на його власні запитання, і Джон Гарденєр вказує в правильному напрямку. Я також повинен погодитися з тим, що сказав шовковистий, в ідеалі - широка громадськість ніколи не входитиме на сайт, який не має екрана входу на основі SSL. ", І зазначу, що це, однак, не сучасний випадок зовсім.

Я не погоджуюся з тоном шовковистості (ймовірно, ненавмисною), що призводить до всюдисущого сприйняття того, що "широка громадськість" є дурною. Клієнт KevinM явно не має поняття потреби у SSL, і це у вашому пересічному слові. Вони не дурні, вони просто не знають. Сказати: "вам це потрібно", буде незаконним відповідь, "я прожив х років без цього, і я проживу х більше просто добре", або, можливо, ще гірший відповідь, "я ненавиджу сказати, що мені потрібно . " Отже, будьте обережні!

Ваша турбота законна, Кевін. Ваш клієнт потребує сертифікату SSL. Я думаю, що ваша справжня турбота повинна полягати в тому, як продати їх. Про це повинні піклуватися не лише користувацькі реєстрації, але й адміністратори та оператори, які також виграють від захисту SSL.

Так, в цьому плані варто турбувати й інші речі, навіть більше, ніж нюхання пакетів, наприклад, XSS . Вони численні і добре задокументовані .

у всьому маршруті, за яким слідує пакет, якщо його через HTTP можна нюхати, а дані можна побачити ... навіть якщо ви використовуєте HTTP у Proxy, як TOR ..., використовуючи збирання-атаку тощо. можна обдурити проксі-сервер для просочування пакетів даних ... тому, якщо є щось поруч із чутливим (паролі, особисті дані, приватні зображення тощо) ... підходить лише для передачі їх через HTTPS.

Що також, навіть HTTPS вразливий при неправильній реалізації, і їх декілька застосованих над ним SSL-атак ... все-таки їх можна уникнути при ретельному виконанні.

Але використовувати HTTP для звичайного тексту - це як запросити навіть початківців дітей, які не вводять чи ні, зірвати паролі.