Defesa contra SSLstrip

Question

Defesa contra SSLstrip

Navegue suas respostas

#1 resposta do (2 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)

1

Estou procurando algumas recomendações para proteger um servidor contra SSLstrip . Alguém tem alguma sugestão?

security ssl https

por Ulkmun 11.02.2011 / 00:32

3 respostas

2

HSTS é o que você quer. Ele permite que você especifique que seu site sempre deve ser acessado por HTTPS e é suportado pelo Chrome e pelo Firefox 4. (E, com a extensão NoScript, o Firefox 3 também).

Veja o link

por 11.02.2011 / 04:17

1

Forme SSL em todas as páginas críticas (preferencialmente usando um certificado EV SSL e, de preferência, em todas as páginas - como o PayPal - para que não haja páginas http que possam ser injetadas)
Eduque seus visitantes para que eles saibam que algo está errado se receberem um erro SSL ou mudar para um domínio diferente

por 11.02.2011 / 08:22

Tags security ssl https

Como faço para apontar 2 domínios godaddy para o meu servidor vps.net? [fechadas] Como desabilitar o Windows Update em todos os computadores em um domínio

score 2 · Accepted Answer

O alvo SSLstrip não é o servidor, mas a sessão entre o usuário e o salto seqüestrado. Ele ataca as inabilidades dos usuários para discernir entre uma sessão real de SSL e uma aparência real. A melhor atenuação, portanto, é garantir que os usuários saibam como é uma conexão SSL adequada ao seu site: https: //, não confie no "cadeado" do favicon, etc.

Infelizmente, como o problema está em grande parte no lado do cliente, não há muito o que fazer do lado do servidor para corrigir a ingenuidade dos usuários. Você pode colocar algumas notas em sua própria página de login / CC, orientando os usuários a verificar se há uma conexão SSL adequada, mas quem pode dizer que isso não será eliminado por um invasor?

Uma opção é usar algo como o NoScript (ou o HSTS como o agl mencionado).

Eu gosto de definir browser.identity.ssl_domain_display para 2 no Firefox para tornar as páginas SSL mais óbvias e definir network.IDN_show_punycode como true para evitar ataques de homógrafos.

Mais uma vez, estas são coisas que têm de ser feitas no lado do cliente e não garantidas pelos seus utilizadores! Suponha que pelo menos alguns de seus usuários não se importem e cliquem em qualquer coisa.