it-swarm-eu.dev

Ist das Posten von HTTP zu HTTPS eine schlechte Praxis?

Unter der Annahme, dass SSL sowohl zur Verschlüsselung von Daten und dient, um die Identität und Legitimität der Daten zu gewährleisten Website, sollte die Praxis der Bereitstellung eines Anmeldeformulars auf einer über HTTP angeforderten Seite vermieden werden, selbst wenn diese auf HTTPS veröffentlicht wird?

Die Frage bezieht sich auf einen Beitrag, den ich gestern über das Who is Who von schlechten Passwortpraktiken verfasst habe, und auf einige Rückmeldungen, die darauf hindeuten, dass es in Ordnung war, das im Browser vor der Authentifizierung dargestellte Zertifikat nicht sichtbar zu sehen, wenn das Formular tatsächlich sicher veröffentlicht wurde .

Meiner Meinung nach ist SSL kurz, da Sie nicht nur die Möglichkeit verlieren, die Legitimität der Website vor der Übergabe Ihrer Anmeldeinformationen zu überprüfen, sondern auch nicht sicher sind, ob dies ist Posting über HTTPS. Ich bin mir bewusst, dass Twitter und Facebook diesen Ansatz verfolgen, aber sollten sie das tun? Übersehe ich hier etwas oder ist dies eine Praxis, von der abgeraten werden sollte?

Update: Am Ende habe ich das Ergebnis dieser Frage und die anschließende Diskussion im Blog-Beitrag detailliert beschrieben bei SSL geht es nicht um Verschlüsselung

64
Troy Hunt

OWASP sagt:

(wörtlich kopiert von http://www.owasp.org/index.php/SSL_Best_Practices )

Sichere Anmeldeseiten
Es gibt mehrere wichtige Überlegungen zum sicheren Entwerfen einer Anmeldeseite. Der folgende Text befasst sich mit den Überlegungen zu SSL.

Anmeldungen müssen auf einer SSL-Seite veröffentlicht werden Dies ist ziemlich offensichtlich. Der Benutzername und das Passwort müssen über eine SSL-Verbindung gesendet werden. Wenn Sie sich das Aktionselement des Formulars ansehen, sollte es https sein.

Landing Page für die Anmeldung muss SSL verwenden Die tatsächliche Seite, auf der der Benutzer das Formular ausfüllt, muss eine HTTPS-Seite sein. Wenn dies nicht der Fall ist, kann ein Angreifer die Seite beim Senden an den Benutzer ändern und den Speicherort für die Formularübermittlung ändern oder JavaScript einfügen, das den Benutzernamen/das Kennwort während der Eingabe stiehlt.

Es dürfen keine SSL-Fehler- oder Warnmeldungen vorliegen Das Vorhandensein einer SSL-Warnmeldung ist ein Fehler. Einige dieser Fehlermeldungen sind berechtigte Sicherheitsbedenken. andere desensibilisieren die Benutzer gegen echte Sicherheitsbedenken, da sie blind auf Akzeptieren klicken. Das Vorhandensein einer SSL-Fehlermeldung ist nicht akzeptabel - selbst wenn der Domainname für das WWW nicht übereinstimmt.

HTTP-Verbindungen sollten getrennt werden Wenn ein Benutzer versucht, eine Verbindung zur HTTP-Version der Anmeldeseite herzustellen, sollte die Verbindung verweigert werden. Eine Strategie besteht darin, HTTP-Verbindungen automatisch zu HTTPS-Verbindungen umzuleiten. Während dies den Benutzer auf die sichere Seite bringt, besteht ein anhaltendes Risiko. Ein Angreifer, der einen Mann im mittleren Angriff ausführt, kann die HTTP-Umleitungsantwort abfangen und den Benutzer auf eine andere Seite senden.

Um es zu wiederholen: Login Landing Page muss SSL verwenden

58
Tate Hansen

Es kann sinnvoll sein, hinzuzufügen, dass es automatisierte Tools gibt, um genau das zu tun, was in den OWASP-Best Practices angegeben ist: "Ein Angreifer kann die Seite beim Senden an den Benutzer ändern und den Ort der Formularübermittlung ändern ... "Der Link enthält eine Black Hat-Präsentation zum Angriff.

13
PulpSpy

Zu den bereits bereitgestellten Antworten hinzufügen. Es gab praktische Fälle, in denen Angreifer mit Nicht-HTTPS-Zielseiten die Site ändern und Benutzeranmeldeinformationen abrufen konnten. Dieses Beispiel ist das neueste, das ich gesehen habe. In diesem Fall wurde dies auf ISP-Ebene durchgeführt, aber ebenso von drahtlosen Hotspot-Anbietern oder von jedem, der die entsprechenden Tools zur Durchführung eines Man-In-The-Middle-Angriffs verwendet.

10
Rory McCune