2

最近、作業中のWebサイトに証明書をインストールしました。私は可能な限り多くのサイトをHTTPで動作させるようにしましたが、ログインした後は、セッションのハイジャックを防ぐためにHTTPSのままにする必要がありますね。

残念ながら、これはGoogleマップでいくつかの問題を引き起こします。IEで、「このページには安全でないコンテンツが含まれています」という警告が表示されます。今のところ、GoogleMapsPremierが安全なサービスを受ける余裕はないと思います。

これは一種のオークションサイトであるため、ハッカーがアカウントに侵入したために購入しなかったものに対して料金が請求されないようにすることが非常に重要です。ただし、すべての支払いはPayPalを介して行われるため、クレジットカード情報は保存していませんが、個人の連絡先情報は保持しています。不正請求は、それが発生した場合、かなり簡単に取り消すことができます。

あなたたちは私が何をすることを提案しますか?サイトの大部分をHTTPSから外して、パスワードを入力する場所のように特定のページを保護する必要があります。それだけですか?それが私たちの競争がしているようです。

4

3 に答える 3

4

ここに問題があり、銀行が依然としてひどく脆弱である理由は次のとおりです。銀行のランディングページはHTTPであるため、中間者攻撃になる可能性があります。次に、ログインへのリンクがあり、ログインページはHTTPSです。

したがって、ログインページに直接アクセスすると、中間者になることはできません。しかし、ホームページ/ランディングページに移動すると、私がそれを制御するので、ログインページのリンクをHTTPに書き直します。次に、ログインページでSSLハンドシェイクを実行し、安全でないバージョンを(ユーザーに)送信します。これで、あなた(ユーザー)はすべての機密トランザクションを実行し、サーバーはそれがHTTPSであると見なします。そして、私は真っ只中です。

これは、サーバー側のDNSレベルにまで達し、クライアント側のブラウザーのデフォルトのアクションに至るまで、完全に解決する のは非常に難しい問題です。

コンテンツプロバイダーとして、JavaScriptを挿入して、サイトの安全な領域が安全にアクセスされていることを確認できます(クラッカーとして、転送する前にそのjsを削除しないでください)。また、幸せな「このサイトがhttps経由でアクセスされていることを確認してください」バナーを含めることもできます。

ユーザーとして、 NoScriptにはサイトがHTTPSにあることを確認するオプションがあります。

サーバーがオプトインし、HTTPS経由でのみアクセス可能であり、MITM処理されている場合は猛烈な死を遂げることができる、すべてのクライアント/サーバーでサポートされていない新しいテクノロジーがあります(DNSエントリのマーカーだと思いますか?)。私は私の人生のために思い出すことができないか、グーグルでそれを見つけることができません...

于 2010-05-24T18:51:56.743 に答える
2

もちろん、いくつかの例外を除いて、サイトの大部分をHTTPSから外します。

  1. チェックアウトまたはアカウント編集画面。
  2. 「機密」情報を表示する画面。

セッションハイジャックの問題に対処するために、チェックアウト時またはアカウント情報の表示/更新を試みるたびに、基本的にhttpからhttpsに移行するたびに、ユーザー名とパスワードの入力を再度求める認証の別のレイヤーを追加します。

于 2010-05-24T18:46:36.257 に答える
1

はい、SSLを使用して、入力フィールドやパスワードなどの重要な要素を保護します。これは、オンラインバンキングサイトを含むほとんどのサイトが行っていることだと思います。

于 2010-05-24T18:42:52.413 に答える