Pertanyaan Berapa banyak data yang bocor dari koneksi SSL?


Katakanlah saya mencoba mengakses https://www.secretplace.com/really/really/secret.php, apa yang sebenarnya dikirim dalam teks biasa sebelum sesi SSL dibuat?

Apakah peramban melakukan intervensi, melihat bahwa saya ingin https, memulai sesi SSL dengan secretplace.com (yaitu tanpa melewatkan jalur dalam teks biasa) dan hanya setelah sesi SSL disiapkan melewati jalur?

Hanya penasaran.


5
2018-01-27 12:44


asal


Jawaban:


Aman HTTP

Tingkat perlindungan tergantung pada kebenaran penerapan browser web dan perangkat lunak server dan algoritma kriptografis yang sebenarnya didukung.

Juga, HTTPS rentan ketika diterapkan ke konten statis yang tersedia secara publik. Seluruh situs dapat diindeks menggunakan perayap web, dan URI sumber terenkripsi dapat disimpulkan dengan hanya mengetahui ukuran permintaan / respons yang dicegat. Hal ini memungkinkan penyerang untuk memiliki akses ke teks (konten statis yang tersedia untuk umum), dan teks terenkripsi (versi terenkripsi dari konten statis), yang memungkinkan serangan kriptografi.

Karena SSL beroperasi di bawah HTTP dan tidak memiliki pengetahuan tentang protokol tingkat yang lebih tinggi, server SSL hanya dapat menyajikan satu sertifikat untuk kombinasi IP / port tertentu. Ini berarti bahwa, dalam banyak kasus, tidak layak menggunakan virtual hosting berbasis nama dengan HTTPS. Solusi yang disebut Server Name Indication (SNI) ada yang mengirim nama host ke server sebelum mengenkripsi koneksi, meskipun banyak browser lama tidak mendukung ekstensi ini. Dukungan untuk SNI tersedia sejak Firefox 2, Opera 8, dan Internet Explorer 7 pada Windows Vista.


5
2018-01-27 12:55



Secara umum, nama server yang Anda gunakan akan bocor ("stackoverflow.com"). Ini mungkin bocor melalui DNS sebelum SSL / TLS bisa mulai terhubung.

Sertifikat server bocor. Sertifikat klien apa pun yang Anda kirim (bukan konfigurasi umum) mungkin atau mungkin tidak dikirim dalam keadaan yang jelas. Penyerang aktif (man-in-the-middle) mungkin bisa meminta browser Anda dan menerimanya.

Porsi lintasan URL ("/ pertanyaan / 2146863 / seberapa-banyak-data-bocor-dari-ssl-koneksi") TIDAK seharusnya bocor. Ini lulus terenkripsi dan aman (dengan asumsi klien dan server sudah diatur dengan benar dan Anda tidak mengklik-melalui kesalahan sertifikat).

Poster lainnya benar, bahwa ada kemungkinan serangan analisis lalu lintas yang mungkin dapat menyimpulkan beberapa hal tentang konten statis. Jika situs tersebut sangat besar dan dinamis (misal stackoverflow.com), saya menduga bahwa cukup sulit untuk mendapatkan banyak informasi bermanfaat darinya. Namun, jika hanya ada beberapa file dengan ukuran yang berbeda, unduhan mana yang dapat terlihat jelas.

Form data POST TIDAK BISA bocor. Meskipun peringatan biasa berlaku jika Anda mengirimkan objek dengan ukuran yang diketahui.

Serangan waktu dapat mengungkapkan beberapa informasi. Sebagai contoh, penyerang dapat menempatkan tekanan pada berbagai bagian aplikasi (misalnya, tabel database tertentu) atau memuat sebelumnya beberapa file statis dari disk dan melihat bagaimana koneksi Anda melambat atau mempercepat respons.

Ini adalah informasi "bocor" tetapi mungkin bukan masalah besar bagi sebagian besar situs.


5
2018-02-23 23:36



Permintaan dibuat oleh browser Anda ke https: // url: 443, dan itu sudah jelas. Kemudian server dan klien akan menegosiasikan ciphersuite untuk melindungi data. Biasanya, ini akan mencakup algoritma enkripsi simetris (misalnya, 3DES atau RC4 atau AES) dan kode otentikasi pesan (seperti HMAC-SHA1) untuk mendeteksi gangguan. Perhatikan bahwa secara teknis, keduanya adalah opsional, itu AKU S mungkin untuk memiliki SSL tanpa enkripsi tetapi tidak mungkin hari ini.

Setelah klien (browser Anda) dan server web telah menyetujui ciphersuite dan kunci ditentukan, sisa percakapan dilindungi.

Sejujurnya, saya akan menghubungkan penganalisis protokol dan melihat semuanya terungkap di depan mata Anda !!

Ingat, bahwa SSL ada di lapisan Transport dari TCP / IP stack, itu di bawah data browser, jadi semuanya terlindungi.

Semoga itu membantu.


-2
2018-02-18 02:27