web-dev-qa-db-fra.com

Options lors de la défense de SSLStrip?

Je me demande, quelqu'un a-t-il des suggestions à défendre contre SSLStrip en particulier?

tlsweb-browserman-in-the-middledefensesslstrip
22
Skizit

Voici mes recommandations pour ce que les utilisateurs peuvent se défendre contre SSLstrip, Firesheep, et des attaques similaires:

  • Installer HTTPS Everywhere ou ForceTLS. (HTTPS Everywhere est plus facile à utiliser.) Ceci indique votre navigateur pour utiliser les versions SSL des sites Web, si possible.

  • Si le navigateur vous donne un avertissement de certificat, ne pas contourner l'avertissement, et ne pas continuer la navigation de ce site Web.

  • Pour les sites critiques, comme les services bancaires en ligne, allez à la HTTPS Version (SSL) du site de votre machine tout en utilisant un réseau sécurisé, puis mettre en signet cette page. Puis, toujours ouvrir le site en ouvrant le signet à chaque fois que vous voulez aller à cette page. Ne jamais saisir son adresse dans la barre d'adresse ou barre de recherche.

  • Si vous ne serez visioner un seul site, pensez à configurer un navigateur spécifique au site. Cela est probablement pas nécessaire pour la plupart des cas, mais il fournira une sécurité supplémentaire contre certaines attaques; il pourrait être approprié, par exemple, pour les entreprises qui utilisent la banque en ligne.

  • Sinon, au lieu de HTTPS Everywhere, vous pouvez faire votre navigation sur le Web via un service VPN.

  • Configurez votre client de messagerie pour utiliser SSL (également connu sous le nom TLS) et de vérifier la validité des certificats. Cela permettra d'assurer la connexion au serveur de messagerie est crypté.

Voici mes recommandations pour quels sites Web peuvent faire pour protéger leurs utilisateurs contre Firesheep, SSLstrip et attaques similaires:

  • Activer le protocole SSL au niveau du site (à savoir, HTTPS).

  • Activer HSTS (HTTP Strict Transport Security).

  • Assurez-vous que votre certificat est valide. Envisagez l'achat d'un certificat Extended Validation (EV), pour les sites plus critiques sécurité.

  • Activer les cookies sécurisés, à savoir, faire en sorte que tous les cookies sont servis avec l'attribut sécurisé, de sorte que les navigateurs de vos utilisateurs ne vont envoyer ces cookies de retour sur les connexions SSL protégées et ne jamais les divulguer sur un lien non-SSL (HTTP).

  • Désactiver HTTP (non SSL) l'accès ou les utilisateurs redirection vers la version SSL du site Web.

  • Éviter ou réduire au minimum l'utilisation des bibliothèques Javascript tiers, des widgets, comme des boutons, etc. Ou, si vous devez les utiliser, assurez-vous qu'ils sont servis d'un https: URL et que le site qui les accueillent qui vous avez confiance.

Sur un autre sujet, les administrateurs de serveurs de messagerie peuvent protéger leurs utilisateurs en permettant la protection SSL/TLS pour IMAP (ou, mieux encore, ce qui nécessite l'utilisation de SSL/TLS sur toutes les connexions) et en permettant STARTTLS sur leurs serveurs SMTP.

18
D.W.