1. घर
  2. सवाल और जवाब
  3. https के साथ लॉगिन कर रहा है लेकिन फिर http में सब कुछ थोड़ा व्यर्थ है?

https के साथ लॉगिन कर रहा है लेकिन फिर http में सब कुछ थोड़ा व्यर्थ है?

2010-01-03 5 views
7

तो आपने मध्य हमलों में मनुष्य को रोकने के लिए https का उपयोग करके लॉगिन किया है और सुनिश्चित करें कि आपका पासवर्ड स्पष्ट रूप से नहीं भेजा गया है। अच्छा निर्णय। लेकिन कई साइटें फिर शेष सत्र के लिए http पर वापस स्विच करें।https के साथ लॉगिन कर रहा है लेकिन फिर http में सब कुछ थोड़ा व्यर्थ है?

एक बार जब आप स्पष्ट रूप से सबकुछ का आदान-प्रदान कर रहे हैं तो क्या मध्य में कोई व्यक्ति फिर से आपके सत्र को अपहरण नहीं कर सकता है? ठीक है, इसलिए उनके पास आपका पासवर्ड नहीं है लेकिन उन्हें इसकी आवश्यकता नहीं है! जब तक आप मध्य में आदमी में लॉग इन रहें, तब तक आप अपने सत्र को हाइजैक कर सकते हैं और जो भी अनुरोध चाहते हैं उसे भेज सकते हैं। क्या वे नहीं कर सकते

इसे रोकने के लिए क्या उपाय किए गए हैं? या क्या यह वास्तव में कोई समस्या नहीं है क्योंकि मैंने कुछ अनदेखा किया है? या, क्या यह सिर्फ एक स्वीकार्य जोखिम है?

स्रोत

2010-01-03 Matthew

+1

IMO, बस HTTPS में सब कुछ करना। एन्क्रिप्शन शायद ही महंगा काम है –

+0

@ जेफरी, Google जैसी व्यस्त साइट पर उदाहरण के लिए एसएसएल का ओवरहेड बहुत कुछ जोड़ सकता है। अधिकांश साइटों में यह समस्या नहीं होगी हालांकि – Glen

+0

ऐसे बहुत से लोग हैं जो इस तथ्य से असहमत होंगे कि एन्क्रिप्शन सस्ते आता है! – Matthew

उत्तर

3

यह इस बात पर निर्भर करता है कि आप व्यर्थ के आधार पर क्या मतलब रखते हैं। :) आप सही हैं कि एक मानक सेटअप में, जहां आप HTTPS पर सत्र बना रहे हैं, और फिर HTTP पर वापस जा रहे हैं लेकिन आपके अनुरोधों के साथ एक सत्र कुकी (कहें) पास कर रहे हैं, कि सैद्धांतिक "कॉफी शॉप में लड़का" वास्तव में अपना डेटा देखें और/या अपनी तरफ से कार्यवाही करें।

ऑल-एसएसएल (एचटीटीपीएस) का उपयोग करने का नकारात्मक हिस्सा परंपरागत रूप से है कि यह सर्वर-साइड गणना दृष्टिकोण के साथ-साथ ग्राहक पक्ष की गणना करने के लिए महंगा है। (साइट के लिए डॉलर और सर्वर, आपके लिए धीमे-लोडिंग पेज।)

इसलिए स्पष्ट रूप से स्पष्ट रूप से किसी साइट को चलाने से वेब के अधिकांश उपयोगों के लिए पारंपरिक रूप से "स्वीकार्य जोखिम" माना जाता है।

आपके द्वारा सामना किए जाने वाले दो जोखिमों में आपका डेटा दूसरों के लिए दृश्यमान हो रहा है, और अन्य आपके जैसे कार्य करने में सक्षम हैं (आपकी कुकीज़ का उपयोग करके, जिन्हें वे चोरी कर सकते हैं)। एक नई साइट को डिजाइन करते समय, आपको इन दोनों चीजों के सापेक्ष जोखिमों के बारे में सोचना चाहिए। ध्यान दें कि वित्तीय संस्थान हमेशा अपने सभी पृष्ठों को HTTPS पर सेवा देंगे क्योंकि जोखिम स्वीकार्य नहीं है - प्रत्येक पृष्ठ में संवेदनशील डेटा होता है, और यहां तक ​​कि छिपाने वाला भी बुरा है। जीमेल सभी सत्रों के लिए एचटीटीपीएस प्राप्त करने के लिए एक ऑप्ट-इन विकल्प भी प्रदान करता है। (हालांकि, फेसबुक नहीं करता है, न ही याहू! मेल)।

आपने शायद देखा है कि HTTP पर मुख्य रूप से चलने वाली कई साइटें पासवर्ड पुन: प्रमाणीकरण के साथ महत्वपूर्ण सेटिंग में परिवर्तनों की रक्षा करेंगी। यह एक कारण है कि वे ऐसा क्यों करते हैं: भले ही कॉफी शॉप में लड़का आपके फेसबुक पोस्ट को पढ़ सके, फिर भी वह आपका पासवर्ड नहीं बदल सकता है और आपका वर्तमान पासवर्ड जानने के बिना आपको लॉक कर सकता है।

दार्शनिक रूप से, मेरा अनुमान यह है कि समय के साथ निजी उपयोगकर्ता डेटा के साथ सेवाओं की बढ़ती संख्या को सभी एचटीटीपीएस में जाने के लिए दबाव डाला जाएगा क्योंकि लोग जोखिमों से अवगत हो जाते हैं और सार्वजनिक वाईफाई नेटवर्क के उपयोग के रूप में बढ़ते हैं।

स्रोत

2010-01-04 00:32:04

+0

"ग्राहक पक्ष की गणना करना" तकनीकी रूप से सच होने पर, मुझे संदेह है कि एन्क्रिप्शन ओवरहेड क्लाइंट के लिए अलग होगा। यदि आप किसी वेबसाइट का उपयोग करते हैं, तो आपका प्रदर्शन लगभग हमेशा नेटवर्क थ्रुपुट द्वारा सीमित होता है, और चूंकि सभी आधुनिक सममित सिफर के थ्रूपुट भी तेज नेटवर्क से अधिक परिमाण के आदेश हैं, अतिरिक्त मंदी नहीं होनी चाहिए। एक आधुनिक प्रोसेसर आसानी से एईएस को 50+ एमआईबी/एस पर डिक्रिप्ट कर सकता है; मुझे संदेह है कि आपका नेटवर्क तेज़ है :-)। – sleske

-1

यदि आपके https हैंडशेक में एक गुप्त कुंजी का आदान-प्रदान शामिल है, तो बीच में एक व्यक्ति सैद्धांतिक रूप से किसी भी नुकसान से रोका जा सकता है, परिवहन परत से आवेदन परत तक सुरक्षा विचारों को स्थानांतरित करके।

उदाहरण के लिए, पार्टियों में एक संदेश अनुक्रम संख्या, और साझा कुंजी का उपयोग कर डिजिटल हस्ताक्षर शामिल हो सकता है। इससे संदेशों को दोबारा शुरू करने, मौजूदा संदेश के साथ छेड़छाड़ करने और झूठे संदेश बनाने से रोका जा सकेगा।

स्रोत

2010-01-03 22:38:48

+0

मैं नहीं देखता कि कैसे, अगर सब कुछ सादा पाठ पर किया जाता है? – ZoFreX

+0

सहमत हुए। एक बार जब आप http की क्लीयरटेक्स्ट दुनिया में वापस आ जाते हैं तो आप एक गुप्त कुंजी के साथ इतना कुछ नहीं कर सकते हैं। – Matthew

+0

सैद्धांतिक रूप से: एक बार जब आप सुरक्षित संचार छोड़ देते हैं, तो आपने सुरक्षित संचार छोड़ दिया है। – yfeldblum

-2

आप यह लागू कर सकते हैं कि सभी अनुरोध उसी आईपी पते से आते हैं जो प्रमाणीकरण किया गया था। यह मुझे लगता है कि बहुत कठिन अपहरण कर देगा। काफी कुछ साइटें ऐसा करती हैं, या विकल्प है।

स्रोत

2010-01-03 23:01:50 ZoFreX

+0

बीच में एक आदमी अपने आईपी पते को खराब कर सकता है। दिया, उसे कोई जवाब नहीं मिलेगा लेकिन वह अभी भी अपने अनुरोध भेज सकता है। – Matthew

+0

वास्तव में, यदि वह वास्तव में "बीच में" है तो वह जवाब भी प्राप्त कर सकता है। – SpliFF

+0

मैंने इस सवाल से लिया कि हमले का उद्देश्य सत्रों पर नियंत्रण रखना था, जैसा कि कार्य करने में किया गया था, न केवल यह देखने के लिए कि क्या हो रहा है, जो स्पष्ट रूप से मामूली है। आईपी ​​को धोखा देकर – ZoFreX

2

साइटें जो एसएसएल का उपयोग नहीं करने के लिए सुरक्षा के बारे में बहुत कम देखभाल करती हैं, लगातार कई तरीकों से असुरक्षित होने की संभावना है। उदाहरण के लिए, उनके पास शायद एक अनएन्क्रिप्टेड पृष्ठ पर लॉगिन फॉर्म ही डिलीवर किया गया हो।हमलावर केवल https फॉर्म पोस्ट गंतव्य को एक अनएन्क्रिप्टेड में बदल सकता है और उसके पास अब आपका पासवर्ड है।

एक बार जब आप में सब कुछ स्पष्ट बीच में एक आदमी अपने सत्र फिर से अपहरण शुरू नहीं कर सकते का आदान प्रदान कर रहे हैं?

हां।

यह बाहरी दीवारों के बिना किसी घर के सामने के दरवाजे को लॉक करने जैसा है।

भले ही कॉफी की दुकान को देखते हुए अपने फेसबुक पोस्ट पढ़ सकते हैं में पुरुष, वह अपना पासवर्ड बदलें और आप जानते हुए भी अपने वर्तमान पासवर्ड

बिना लॉक नहीं कर सकता वह कर सकते हैं अपना सत्र कुकी ले लो? क्या वह आपका ईमेल पता बदल सकता है? क्या वह पासवर्ड रीसेट ईमेल का अनुरोध कर सकता है? क्या वह आपको सार्वजनिक मंचों में गूंगा सामान कह सकता है? शायद।

वह निश्चित रूप से http के साथ प्रत्येक पृष्ठ पर प्रत्येक https लिंक को प्रतिस्थापित कर सकता है। "एसएसएलस्ट्रिप" के लिए Google। संभावना से अधिक, पीड़ित कभी भी एक https पृष्ठ पर खत्म होने वाला नहीं है। तो जब पीड़ित "मेरा पासवर्ड बदलें" लिंक पर क्लिक करता है, तो हमलावर को स्पष्ट पाठ में पुराने (और नए) पासवर्ड मिलते हैं।

  • मार्श

स्रोत

2010-02-22 16:11:50

संबंधित मुद्दे

 संबंधित मुद्दे