it-swarm.com.de

Warum sind einige Websites scheinbar immun gegen selbstsignierte MitM-Angriffe mit Zertifikaten?

Ich habe kürzlich ein Experiment mit MitM durchgeführt, um Kontoinformationen (Benutzername und Passwort) beim Zugriff auf Websites zu erhalten. Ich habe im Szenario zwei PCs verwendet. eine als Ziel, auf der Internet Explorer ausgeführt wird, und eine als Angreifer, auf der ettercap ausgeführt wird. Ein Versuch (der vorgab, Steamcommunity.com zu sein) ergab Informationen; Das Ziel akzeptierte das gefälschte selbstsignierte CA-Zertifikat des Angreifers, das über den MitM-Angriff vorgelegt wurde. Bei dem anderen Versuch (der vorgab, facebook.com zu sein) konnte ich nicht einmal eine Ausnahme für das selbstsignierte Zertifikat auf dem Zielcomputer hinzufügen. Die Frage ist also, warum ich auf einer Website eine Ausnahme hinzufügen konnte, auf der anderen nicht.

37
Pierrot

Facebook verwendet HSTS (mit Preload [*]), Steamcommunity.com nicht.

HTTP Strict Transport Security ist ein HTTP-Header, der zwei Auswirkungen hat:

  1. Es erzwingt alle Verbindungen zur Site über HTTPS (auch wenn sie versehentlich als HTTP verknüpft/mit einem Lesezeichen versehen/eingegeben wurde).
  2. Es wird abgebrochen, wenn ein HTTPS-Fehler oder eine Warnung vorliegt. Dies schließt selbstsignierte Zertifikatswarnungen ein, was bedeutet, dass diese Zertifikate nicht akzeptiert werden können.

[*] Preload bedeutet, dass der Browser HSTS bereits vor dem ersten Besuch kennt. Ohne Preload können Sie bei der ersten Anforderung an die Site einen Mann im mittleren Angriff ausführen, selbst wenn HSTS vorhanden ist.

47
tim