it-swarm-id.com

Apakah memposting dari HTTP ke HTTPS merupakan praktik yang buruk?

Bekerja pada asumsi bahwa SSL berfungsi baik untuk mengenkripsi data dan untuk memberikan jaminan mengenai identitas dan legitimasi dari situs web, haruskah praktik menyediakan formulir logon pada halaman yang diminta melalui HTTP dihindari, bahkan ketika memposting ke HTTPS?

Pertanyaannya berkaitan dengan posting yang saya buat kemarin tentang Siapa yang melakukan praktik kata sandi buruk dan beberapa umpan balik menyarankan bahwa tidak terlihat melihat sertifikat yang diwakili di browser sebelum diautentikasi baik-baik saja jika memang formulir diposting dengan aman .

Menurut saya, ini menjual SSL pendek karena Anda tidak hanya kehilangan kemampuan untuk memvalidasi keabsahan situs sebelum menyerahkan kredensial Anda, tetapi Anda juga tidak memiliki kepastian bahwa itu adalah memposting melalui HTTPS. Saya sadar orang-orang seperti Twitter dan Facebook mengambil pendekatan ini, tetapi haruskah mereka? Apakah saya mengabaikan sesuatu di sini atau ini praktik yang harus dihilangkan?

Pembaruan: Saya akhirnya merinci hasil dari pertanyaan ini dan diskusi selanjutnya di posting blog SSL bukan tentang enkripsi

64
Troy Hunt

Status OWASP:

(disalin kata demi kata dari http://www.owasp.org/index.php/SSL_Best_Practices )

Halaman Login Aman
Ada beberapa pertimbangan utama untuk mendesain halaman login dengan aman. Teks berikut ini akan membahas pertimbangan sehubungan dengan SSL.

Login Harus Diposting ke Halaman SSL Ini cukup jelas. Nama pengguna dan kata sandi harus diposting melalui koneksi SSL. Jika Anda melihat elemen tindakan dari formulir itu harus https.

Halaman Masuk Login Harus Menggunakan SSL Halaman sebenarnya tempat pengguna mengisi formulir harus halaman HTTPS. Jika tidak, penyerang dapat mengubah halaman saat dikirim ke pengguna dan mengubah lokasi pengiriman formulir atau memasukkan JavaScript yang mencuri nama pengguna/kata sandi saat diketik.

Tidak boleh ada Kesalahan SSL atau Pesan Peringatan Kehadiran pesan peringatan SSL apa pun adalah kegagalan. Beberapa dari pesan kesalahan ini adalah masalah keamanan yang sah; yang lain menurunkan rasa sensitif pengguna terhadap masalah keamanan nyata karena mereka secara buta mengklik menerima. Kehadiran pesan kesalahan SSL tidak dapat diterima - bahkan ketidakcocokan nama domain untuk www.

Koneksi HTTP harus dijatuhkan Jika pengguna mencoba untuk terhubung ke versi HTTP dari halaman login koneksi harus ditolak. Salah satu strategi adalah secara otomatis mengalihkan koneksi HTTP ke koneksi HTTPS. Meskipun ini tidak membuat pengguna ke halaman aman ada satu risiko yang tersisa. Seorang penyerang yang melakukan pria dalam serangan tengah dapat mencegat respons pengalihan HTTP dan mengirim pengguna ke halaman alternatif.

Untuk mengulangi: Halaman Masuk Login Harus Menggunakan SSL

58
Tate Hansen

Mungkin perlu ditambahkan bahwa terdapat alat otomatis untuk melakukan persis seperti apa praktik terbaik OWASP: "penyerang dapat memodifikasi halaman saat dikirim ke pengguna dan mengubah lokasi pengiriman formulir ... "Tautan ini menyertakan presentasi Black Hat tentang serangan itu.

13
PulpSpy

Untuk menambah jawaban sudah disediakan. Ada kasus praktis di mana memiliki halaman arahan non-HTTPS memungkinkan penyerang untuk memodifikasi situs dan mengambil kredensial pengguna. Contoh ini , adalah yang terbaru yang pernah saya lihat. Dalam hal ini dilakukan di tingkat ISP, tetapi bisa juga dilakukan oleh penyedia hotspot nirkabel atau siapa pun yang menggunakan alat yang relevan untuk melakukan serangan Man-In-The-Middle.

10
Rory McCune