JFW
2010-11-28 17:29:07 UTC
Perché Firesheep non è in grado di dirottare la sessione quando un utente utilizza SSL?
Domanda:
Due risposte:
user185
2010-11-28 17:56:27 UTC
Deve leggere il contenuto delle transazioni HTTP tra il computer della vittima e il server remoto. SSL presenta la crittografia punto-punto utilizzando una chiave negoziata dai due sistemi, quindi un terzo sistema che intercetta passivamente non può leggere il contenuto.
Tieni presente che è possibile ispezionare il contenuto SSL interponendo il sistema di attacco tra le due parti. Si chiama man-in-the-middle e viene utilizzato dai filtri dei contenuti aziendali in modo che possano filtrare sia la comunicazione HTTP che HTTPS.
"Si noti che è possibile ispezionare il contenuto SSL interponendo il sistema di attacco tra le due parti. Questo è chiamato man-in-the-middle," - Questo dovrebbe essere riformulato poiché SSL dovrebbe, e in effetti può, impedirlo. I filtri dei contenuti aziendali descritti funzionano rompendo SSL usando un orribile kludge che implica un compromesso autoinflitto del modello di fiducia di SSL :-)
@frankodwyer: che significa ancora che è possibile ;-)
@graham - non nello scenario della `` caffetteria '' di firesheep, o almeno è possibile che l'utente lo rilevi (concesso, questo non significa che l'utente medio lo farà, mi aspetto che la maggior parte di loro chiuda il browser avvertimento e vai avanti a prescindere - anzi, se non avessi ancora preso il caffè, potrei farlo io stesso :-)
@frankodwyer la tua parentesi esprime quasi tutto ciò che non va con SSL. "Caro utente, ecco alcune cose che io, uno sviluppatore, comprendo e tu no. Tuttavia, ho deciso che dovresti essere tu la persona a decidere cosa fare qui." Le restanti cose sbagliate ti vengono fornite dalle lettere C e A.
Tate Hansen
2010-11-29 00:49:47 UTC
Il browser web e il server web stabiliscono una connessione crittografata prima di qualsiasi comunicazione HTTP, quindi quando i dati di sessione vengono scambiati si trovano all'interno del tunnel crittografato e sono protetti da man-in-the-middle attacchi o intercettazioni.
Per i dettagli, controlla il diagramma di sequenza SSL da: http://www.eventhelix.com/RealtimeMantra/Networking/
Tecnicamente Firesheep potrebbe dirottare la sessione delle connessioni SSL, ma è probabile che tu riceva un avviso dal browser sullo stabilire una connessione non affidabile, ad esempio:
Se questo:
tu < --- SSL ---> aggressore < --- SSL ---> bank.com
poi:
A mio parere l'avvertimento non è abbastanza esplicito per gli utenti. Non ci sono buoni scenari in cui l'utente finale dovrebbe probabilmente continuare. Non possiamo confermare che la connessione è sicura = "potrebbe essere sicura" agli occhi della maggior parte degli utenti non tecnici. Il problema più grande con SSL è il presupposto che l'utente sappia cosa fare quando qualcosa va storto. La realtà è che non lo fanno e anche se il 100% degli utenti potrebbe non fare clic su "Capisco i rischi", una parte significativa lo farà.
ⓘ
Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.