所以这是一个有点广泛的问题,我知道,但我希望有一个比我更聪明的人可以提供一个总结答案,可以帮助我完成所有SSL的来龙去脉。
最近我观看了Moxie Marlinspike在BlackHat上发表演讲的视频,一小时后,我心里想,“我做的并不重要。对于一个坚定的黑客总有办法。 “我记得他的最后一个例子,他演示了当用户输入HTTP地址直接使用重定向甚至直接转到HTTPS时,攻击者仍然有机会通过MITM插入自己。
因此,如果浏览器始终默认为HTTP,并且用户很少直接在地址栏中输入HTTPS地址,那么正在侦听访问Bank X网站的攻击者将始终在HTTP期间有机会 - > HTTPS重定向以获得控制权。我认为他们必须在同一个网络上,但这不是什么安慰。似乎Marlinspike的观点是,在我们直接将HTTPS作为标准而不是替代方案之前,这将永远是一个问题。
我是否理解正确?如果攻击者在转换过程中可以使用MITM获得控制权,重定向到HTTPS有什么意义?有没有人有任何线索可以采取预防措施来保护自己?会通过javascript重定向混淆HTTPS链接(因此它们无法在传输过程中被剥离)会有任何帮助吗?任何想法都将不胜感激!
答案 0 :(得分:1)
您可以使用HSTS告诉浏览器必须始终使用HTTPS访问您的网站。
只要浏览器的第一个HTTP连接没有受到攻击,即使用户没有在地址栏中输入HTTPS,所有未来的连接都将直接通过HTTPS进行。
答案 1 :(得分:0)
如果在服务器端正确实施,则HTTP / HTTPS重定向中实际上没有任何信息泄漏(即,如果所有危险的cookie都标记为“仅HTTPS”且JavaScript不可访问)。 当然,如果最终用户对安全性一无所知,那么它可能被黑客入侵,但另一方面,如果您的用户甚至不知道基本的安全规则,并且没有系统管理员会向用户解释它,那么有可能以这么多方式破解这样的用户,HTTP到HTTPS重定向问题并不是真正的麻烦。 我看到许多用户从服务器下载并运行未知的EXE文件只是为了“赢得1000000美元”,这也是一种破解它们的好方法(甚至比利用重定向更好,如果你在用户计算机上运行EXE,你已经是王者,可以在默认安全设置下窃取任何用户cookie)。 因此,如果用户与黑客合作并帮助黑客破解他自己的计算机,是的,这样的用户将成功被黑客入侵,但安全性是关于准备保护自己的专业人士,而不是关于可能在Blogpost某处发布他的PayPal cookie的用户然后惊讶于他被黑了。