it-swarm.com.de

Sollten Domains, die nur Weiterleitungen (auch als winzige URLs bezeichnet) erstellen, verschlüsselt werden (https)?

Für diese Frage werde ich folgende Domains verwenden:

  • example.com - ein Online-Shop
  • exmpl.com - Eine Domain, die zum Teilen von Elementen verwendet wird.

exmpl.com Wird für Weiterleitungen verwendet (z. B. http://exmpl.com/foo Wird zu https://example.com/items/42 Weitergeleitet).

Ich habe folgende Fragen:

  • Wie wichtig ist es, dass exmpl.com Verschlüsselt wird?
  • Ist es überhaupt wichtig, ob es https oder nur http hat?
  • Wenn es nicht https gibt, kann jemand, der versucht, auf https://exmpl.com Zuzugreifen, dies natürlich nicht, aber gibt es irgendwelche Nebenwirkungen?
  • Warum sollte ein Unternehmen in diesem Zusammenhang lieber nur http unterstützen?
31
Ionică Bizău

Sollten Sites umleiten, verwenden Sie HTTPS

Wenn die Hauptwebsite HTTPS verwendet, sollte dies auch die Umleitungswebsite tun.

Welche Angriffe sind möglich, wenn dies nicht der Fall ist?

Passiver Angreifer

  • Kann jeden vom Benutzer betrachteten Artikel sehen
  • Möglicherweise erhalten Sie zusätzliche Informationen (welche Site/welcher Chat mit der Seite verknüpft ist)

Aktiver Angreifer

Alles, was ein passiver Angreifer kann, und ...

  • Kann MITM die Verbindung herstellen und so etwas wie SSLStrip verwenden, um ein Upgrade der Verbindung auf HTTPS zu verhindern, sodass dann Passwörter, Kreditkartennummern usw. überwacht werden können.
  • Kann der Antwort ein Cookie hinzufügen, mit dem sie einen Benutzer verfolgen können
  • Kann den Datenverkehr auf eine Phishing-Site oder eine Site umleiten, auf der Malware installiert wird.

So verhindern Sie die vollständige Verwendung von HTTP, um Tools wie SSLStrip zu stoppen

  • Sie können einen HSTS-Header bereitstellen, sodass nur der erste Besuch (und der erste Besuch nach Ablauf des Headers) HTTP verwendet, sodass ein Angreifer den Datenverkehr nicht abfangen kann
  • Wenn Sie diese Schwachstellen vermeiden möchten, können Sie Ihre Site zur HSTS Preload List hinzufügen, wodurch HTTP-Verbindungen verhindert werden.
  • Dies müsste für beide Sites gelten, als ob die Haupt-Site HSTS ist, aber die Umleitung, dann könnte der Angreifer stattdessen zu einer Site umleiten, die er kontrolliert, wobei HSTS umgangen wird.

Soll ich HTTPS verwenden?

Im Allgemeinen [~ # ~] ja [~ # ~]

Es gibt nur sehr wenige Fälle, in denen Sie ohne HTTPS davonkommen können. All dies muss zutreffen:

  • Sie signieren Ihre Daten manuell - und überprüfen immer die Signatur

  • Es ist Ihnen egal, ob Leute herausfinden, dass Ihre Software auf einem Computer ausgeführt wird

  • Sie verarbeiten keine vertraulichen Informationen oder Informationen, die Benutzer möglicherweise geheim halten möchten
  • Sie erhalten nicht versehentlich vertrauliche Informationen über Ihr System
    • Ein Beispiel wäre ACARS, es war nicht für vertrauliche Informationen gedacht, aber Kreditkartennummern wurden darüber gesendet, ohne die verursachten Probleme zu bemerken. [ Forum , Papier ]
  • Es ist Ihnen egal oder Sie können feststellen, ob jemand die Dateien mit anderen gültigen signierten Dateien vertauscht
  • Der Dienst impliziert keine sensiblen Daten (eine Seite über eine Krankheit ist möglicherweise nicht sensibel, aber die Tatsache, dass jemand nach der Krankheit sucht, ist möglicherweise sensibel).
47
jrtapsell

Es gibt sehr wenige Fälle, in denen die Verwendung von einfachem HTTP und nicht von HTTPS eine gute Idee ist. Dies ist wahrscheinlich keiner von ihnen.

Stellen Sie sich das folgende Szenario vor: Ein Benutzer klickt auf einen Link zu http://exmpl.com/foo, in der Hoffnung, ein neues Foo zu kaufen. Ein Mann in der Mitte fängt die Anfrage ab und antwortet mit einer Phishing-Kopie von https://example.com/items/42 anstelle einer Weiterleitung an die legitime. Der Benutzer, der so faul wie die Benutzer ist, überprüft nicht, zu welcher URL er umgeleitet wurde - schließlich wusste er, dass er auf den richtigen Link geklickt hat. Stattdessen gibt er seine Kreditkartendaten in die Phishing-Site ein. Er glaubt, auf einer legitimen Website nach Foo zu suchen, während er tatsächlich betrogen wird.

Klar, der Benutzer hat hier einen Fehler gemacht. Aber es ist ein Fehler, der keine Rolle gespielt hätte, wenn Sie nur HTTPS verwendet hätten.

8
Anders

Wenn der Benutzer datenschutzbewusst ist, möchte er möglicherweise die Datenmenge minimieren, die ein Lauscher über ihn sammeln kann. Wenn Sie HTTPS verwenden, wird die gesamte Anforderung verschlüsselt. Der Lauscher weiß nur, auf welchen Server der Benutzer zugegriffen hat und (ungefähr) wie viele Daten ausgetauscht wurden.

Wenn exmpl.com kein HTTPS verwendet, weiß der Lauscher:

  • Betreff zugegriffen http://exmpl.com/foo
  • Betreff erhielt eine http-Weiterleitung an https://example.com/items/42
  • Der Betreff hat auf eine unbekannte (aber jetzt leicht abzuleitende) URL in der Domain zugegriffen example.com
  • Der Betreff erhielt eine lange verschlüsselte Antwort

Wenn Sie HTTPS verwenden, weiß der Angreifer Folgendes:

  • Betreff hat auf eine unbekannte URL in der Domain zugegriffen exmpl.com
  • Der Betreff erhielt eine kurze verschlüsselte Antwort
  • Betreff hat auf eine unbekannte URL in der Domain zugegriffen example.com
  • Der Betreff erhielt eine lange verschlüsselte Antwort

Der Angreifer erfährt nicht, welche Weiterleitung der Benutzer verwendet hat, und erfährt daher nicht, dass der Benutzer items/42 Besucht hat. Der Angreifer kann auch nicht sicher sein, ob diese beiden Zugriffe zusammenhängen.

7
Philipp