Jak zapobiec atakowi HTTPS po stronie serwera?

Question

W modelu zabezpieczeń HTTPS najsłabszym elementem jest lista zaufanych ośrodków CA w przeglądarce. Istnieje wiele sposobów na to, że ktoś może dodać CA do listy, że użytkownicy zaufają niewłaściwemu facetowi.

Na przykład publiczny komputer lub komputer w firmie. Administrator może zmusić Cię do zaufania wystawionemu przez siebie urzędowi certyfikacji, może to być bardzo niebezpieczne dla serwera proxy HTTPS z przekaźnikiem HTTPS. W rezultacie będą mogli wyświetlać komunikat, login i hasło nawet w przeglądarce, informując o tym, że korzystasz z zaufanego połączenia SSL.

Co w takim razie może zrobić programista aplikacji internetowych, aby chronić użytkownika, a także system?

Answer 1

Jako programista aplikacji WWW niewiele można na ten temat zrobić.

Ten problem należy załączyć w dalszym ciągu stosu.

Jeśli ktoś w połowie drogi na całym świecie chce:

się. Umieść fałszywego urzędu certyfikacji na czyimś komputerze

b. Wydanie certyfikatu dla domeny pod tym numerem CA

Podszywać się pod swoją witrynę

d. Wskaż lokalny wpis DNS dla swojej domeny innemu adresowi IP

W żadnym z powyższych kroków nie jest zaangażowana twoja aplikacja ani nie skonsultowano się z nią, więc jest to miejsce, w którym ważna jest dobra administracja sieci i bezpieczeństwo.

Poza tym może istnieje uzasadniony powód, aby ktoś zrobił to lokalnie w swojej osobistej sieci. Kim jestem, aby ich powstrzymać?

To jest zasadniczo to, co robią korporacyjne filtry proxy sieci Web i są one w ich prawach do robienia tego.

Jeśli chodzi o powstrzymywanie kogoś, kto jest złośliwy przed podjęciem powyższych kroków, jest to coś, co należy umieścić na komputerach użytkowników komputerów klienckich.

Answer 2

Teoretycznie jeśli terminal użytkownika jest własnością przeciwnikiem, już stracone i nic nie można na to poradzić - jeśli przyjdzie co do czego mogą filtrować swoje środki zaradcze lub nawet zeskrobać i naciąganie cała strona.

W praktyce można robić rzeczy, aby praca przeciwnika była trudniejsza, ale to wyścig zbrojeń. Najprawdopodobniej będziesz musiał użyć tego samego rodzaju środków zaradczych, które złośliwe oprogramowanie wykorzystuje przeciwko skanerom - ponieważ z punktu widzenia przeciwnika Twoja strona zachowuje się złośliwie, starając się nie dopuścić do przesłonięcia! - i wiedz, że wszystko, co robisz, może i będzie szybko zwalczane, jeśli twój przeciwnik będzie się troszczył.

Możesz na przykład otwierać gniazda lub używać XmlHttpRequest z JavaScript lub apletów, ale nie możesz powstrzymać swojego przeciwnika przed aktualizacją filtrów, aby usunąć wszystko, co dodasz.

Możesz uzyskać więcej kilometrów, emitując polimorficzne dane wyjściowe lub używając innych technik inżynierii wstecznej, więc wydaje się, że dwa trafienia w witrynie nie generują podobnych kodów/zasobów wysyłanych do przeglądarki.Jest to ogromna ilość pracy, ale daje przeciwnikowi łamigłówkę do żucia, jeśli chce grać człowieka w środku.