L'accesso su ogni pagina richiede SSL su tutte le pagine

softwareengineering.stackexchange https://softwareengineering.stackexchange.com/questions/190424

  •  05-11-2019
  •  | 
  •  

Domanda

Il nostro sito Web ha un modulo di accesso che viene visualizzato nell'intestazione su ogni pagina del sito Web. Questo è ciò che il mio capo desidera, tuttavia, dobbiamo diventare conformi a PCI e dice che qualsiasi forma sensibile (login/password) richiede SSL. Quindi significa che l'intero sito Web deve essere eseguito sotto SSL mentre un utente non viene effettuato l'accesso?

Un'altra domanda relativa a ciò, abbiamo un software di sicurezza di terze parti che scansion e test del nostro sito e invia HTTP Post al modulo di accesso su tutte le pagine e rapporti che non è garantito perché lo invia in HTTP. Mi chiedo come lo faccia un'azienda come Godaddy perché hanno un accesso/password sulla loro home page, ma posso accedervi tramite HTTP e inviare bene le mie informazioni di accesso. Con quella logica non sono sicuri perché mi permette di farlo bene? Mi sento come se mi mancasse qualcosa ma non sono sicuro di cosa.

-Edit- Alcune informazioni che provenivano dal sito di sicurezza:

DescrizioneEsiste una vulnerabilità che consente a un utente malintenzionato di raccogliere informazioni sensibili (credenziali di accesso, ecc.) Che si ritiene siano SSLSecured.

In particolare, è stato trovato un modulo in una pagina HTTP (non crittografata) che invia informazioni a una pagina HTTPS (crittografata). Un utente malintenzionato potrebbe sfruttare l'avvelenamento della cache (DNS/DHCP/ARP/ecc) o un'altra vulnerabilità (ad esempio XSS) per causare la pagina HTTP a inviare informazioni a un sito Web controllato dagli attaccanti anziché al sito HTTPS legittimo.

Inoltre, esistono toolkit per automatizzare il processo di raccolta di tali credenziali, connettendosi al legittimo sito HTTPS e stabilire l'attaccante come proxy trasparente tra la vittima e l'ospite legittimo in cui l'attaccante vede tutte le informazioni in ClearText (comprese le credenziali di accesso, ecc.).

Vittima <--------- http ---------> Attaccante <--------- Https ---------> Sito legittimo

Punteggio CVSS 2.1

Soluzione

Non consentire alcuna informazione che desideri che SSL sia protetto da una pagina non garantita.

Nessuna soluzione corretta

Autorizzato sotto: CC-BY-SA insieme a attribuzione
scroll top