Как сделать SSL бесполезным

Сегодня Иван Ристич представил интересную презентацию на OWASP (Лондон) под названием «Как сделать SSL бесполезным» включая Топ 11 распространенных SSL ошибок которые делают SSL бесполезным:

1. Самоподписанные сертификаты

  • Самоподписанные сертификаты понижают SSL безопасность для всех пользователей.
  • Такие сертификаты являются небезопасными.
  • Мы учим пользователей игнорировать предупреждения.
  • Сертификаты дешевые или даже бесплатные.
  • Дешевле купить сертификат, нежели заниматься поддержкой самоподписанного.

2. Собственные сертификаты СА

  • Вы настраиваете сайт, не хотите платить за сертификат мало, но и не хотите тратить много времени на создание пользовательских CA?!
  • Право пользоваться корневым СА для многих пользователей небезопасно.
  • Насколько хорошо защищен ваш корневой СА?
  • Любой корневой СА может подписать любой сайт.

3. Соединение SSL и простого текста

  • Обеспечить надежность затруднительно.
  • Вы нуждаетесь в двух сессиях.
  • Безопасным является перенаправление пользователей с одного соединения на другое (повторная аутентификация).
  • Преобразование для MITM проще всего проводить с помощью sslstrip.

4. Неиспользование secure cookies

  • Secure cookies передаются только по SSL.
  • Вы должны использовать secure cookies везде.

5. Использование неполных сертификатов

  • Вы набираете https://sllabs.com и видете тот же сайт, что и https://www.ssllabs.com.
  • На многих сайтах всплывают окна SSL-предупреждения.
  • Это вводит многих пользователей в заблуждение.
  • Используйте СА, которые защищают домены как с, так и без префикса www.

6. Неиспользование EV сертификатов

  • Продвинутые сайты чаще будут объектом фишинг-атак.
  • Легко сделать опечатку либо выбрать неправильное место, особенно если вы неопытный пользователь.
  • Зеленая строка помогает заверить пользователей в безопасности и показать, что они попали в нужное место.

7. Неиспользование SSL

  • Существует множество сайтов, которые не используют SSL, хотя должны это делать.
  • Если имеется аутентификация – необходим SSL.
  • Если имеется форма заказа – необходим SSL.

8. Смешанное содержание страницы

  • Некоторые браузеры предупреждают о смешанном содержании страницы, некоторые нет.
  • Если способности веб-дизайнера недостаточны, большая часть пользователей будет получать предупреждение.
  • Одной незащищенной ссылки хватит, чтобы нанести урон всему сайту.

9. Разные сайты, использующие порт 80 и 443

  • Вы набираете https://www.example.com и надеетесь увидеть тот же сайт, что и http://www.example.com.
  • Такова судьба каждого отдельного сайта, который использует виртуальный хостинг.
  • Вы не станете возражать, если https://www.yourcompany.com будет иметь сомнительное содержание?

10. Использование SSL для «важных» частей сайта

  • Некоторые сайты используют SSL только для аутентификации и ничего больше.
  • Они уязвимы к атакам во время сессии.
  • Некоторые даже позволяют менять пользователям пароль без ввода старого.

11. Противоречивая конфигурация DNS

  • Ваш адрес www.example.com использует один сервер, тогда как example.com использует другой.
  • Невероятно, как много известных сайтов страдают от этой проблемы.
  • Проблемы, подобные пункту №5.

Комментарии запрещены.