web-dev-qa-db-fra.com

Protéger contre la bande SSL

J'ai lu que vous pouvez attaquer des connexions à l'aide d'outils tels que SSLStrip , si vous êtes sur le même réseau. Alors, que garantit que nos connexions SSL restent en sécurité?

  1. Cela dépend-il de la force du certificat?
  2. Devez-vous avoir le contrôle du routeur? (comme utiliser une marque d'ananas IV)
tlsnetworkcertificatescertificate-authoritysslstrip
5
Travis Thompson

Si vous parlez de la "SSLStrip" de Moxie, il s'agit davantage d'une attaque orientée par l'utilisateur qu'une attaque technique réelle sur SSL. Il ne casse pas le modèle de cryptographie ou de confiance sous-jacent. (Il a un autre outil, SSLSNIFF, qui attaque en réalité une partie des implémentations techniques de la vérification de la confiance et du certificat.)

Tout d'abord, vous devriez regarder sa présentation defcon sur SSLStrip, si vous ne l'avez pas déjà fait: http://www.thoughcrime.org/software/sslstrrip/ . Si rien d'autre, c'est un grand aperçu de la raison de la raison des défauts de sécurité.

L'origine de SSLStrip était basée sur une simple observation: la plupart des utilisateurs n'arrivent pas sur des sites SSL en tapant directement dans l'URL ou en tapant un fichier HTTPS marqué: // URL. La plupart des utilisateurs se connectent à un site non-SSL et sont redirigés (vérifiez par E.G. HTTP 302) ou se connectent à un site non SSL qui contient un lien vers le site SSL et cliquez sur le lien.

Dans les deux cas, le site non-SSL peut facilement être manifesté à l'homme et donc l'URL que l'utilisateur est redirigé pour peut être modifiée silencieusement par un attaquant. Par exemple. Votre lien vers https://bankofamerica.com/ peut être modifié en https: //[email protected]/ . Les utilisateurs finaux voit toujours un cadenas et un certificat valide, il arrive simplement à un certificat pour www.badguy.com au lieu de Bankofamerica.com. Moxie a également montré d'autres trucs cools avec Unicode dans les URL et trouver des glyphes qui ressemblent à des barres obliques avant de tromper l'utilisateur final, mais que cela a été fixé depuis la plupart des navigateurs et est accessoire à la cause fondamentale du problème.

Pour répondre à tes questions:

  1. Aucun certificat n'est compromis dans cette attaque, de sorte que la "force" n'a pas d'importance du tout. Tous les certificats utilisés sont complètement valables dans un sens cryptographique.

  2. Vous n'avez pas à posséder le routeur local. Vous pouvez utiliser une attaque d'usure de l'arp vers l'homme dans le milieu de votre cible si vous êtes sur le même réseau que ceux-ci.

5
Mark E. Haase

Défendre contre SSL Strip:

  • Utilisez SSL Sitewide. En d'autres termes, utilisez uniquement HTTPS, pas HTTP.

  • Utilisez HSTS (Strict Transport Security). Cela indiquera que les navigateurs ne se connectent que via HTTPS et ne jamais via HTTP.

Si vous utilisez ces deux protections, vous serez en sécurité contre la bande SSL. Recherchez sur ce site pour trouver beaucoup plus d'informations sur la manière de faire appel à ces protections sur votre site correctement.

5
D.W.