HTTPS sitesi kötü amaçlı veya güvenli olmayabilir mi?

Bir bilgisayarın sadece bir web sitesini ziyaret ederek bulaştırılmasının mümkün olduğunu biliyorum. Ayrıca HTTPS web sitelerinin güvenli olduğunu da biliyorum.

Anladığım kadarıyla, burada "güvenli", "MITM saldırılarına karşı bağışıklık" anlamına gelir, ancak bu tür web sitelerinin sertifikaları olduğundan ve "temiz" ve kötü amaçlı olmadıklarını varsaymak doğru mudur?

29
@Shadur bilgisayarına veya tarayıcısına zaten virüs bulaşmamışsa ve aslında olmadığı zamanlarda https altında çalışıyormuş gibi davrandı. Tabii ki çok zor bir nokta.
katma yazar Ben McNiel, kaynak
HTTPS yalnızca diğer sitelerin iletişimlerinizi okuyabilmesini sağlar. Diğer sitenin bu sitelerle yaptığı şey, HTTPS'nin çözmeye çalıştığı sorun alanında değil. Konuştuğunuzu düşündüğünüz kişiyle konuşma garantiniz olsa ve hiçbir kötü niyetli kişi iletişiminizi dinleyemiyorsa veya değiştiremiyorsa, o kişinin kendilerinin kötü niyetli olup olmadığına dair bir ilgisi yoktur - bir casusun kişisi çifte ajan, casusun onlarla iletişiminin ne kadar güvenli olduğu önemli değil, çünkü saldırının olduğu yer orası değil.
katma yazar Jeremy Reagan, kaynak
Bunun anlamı, eğer o siteden kötü amaçlı yazılım sözleşmesi yaparsanız, o siteden geliyor ve başka bir yerden değil, yani en azından kimi suçlayacağınızdan emin değilsiniz.
katma yazar Paŭlo Ebermann, kaynak
HTTPS web sitelerinin güvenli olduğunu da biliyorum. Tam değil. HTTPS bağlantılar güvenlidir. Bu, bağlantının diğer tarafındaki web sitesi hakkında hiçbir şey ifade etmiyor.
katma yazar MikeJ-UK, kaynak
@Gudradain Tarayıcınız güncel ise, bu genellikle bir sorun değildir. Hala sıfır gün olasılığı var. (Açıkçası, bunlardan birine girme ihtimaliniz oldukça zayıf.)
katma yazar Ajedi32, kaynak
Siz, şahsen düşmanca bir web sitesi yazabilir misiniz? Emin. Bir HTTPS sitesini barındırmak için kişisel olarak bir sertifika alabilir misiniz? Emin. siz yapabilirseniz, diğer insanlar da yapabilir mi? Evet.
katma yazar Ken Pino, kaynak
@cpast İlk cümleniz, bunun gizlilik ile ilgili olduğu izlenimini veriyor. Ancak verinin gerçekten özgünlüğü ve bütünlüğü burada anahtardır. Ancak bunlar kötü amaçlı yazılımlara yönelik saldırı vektörlerini gerçekten kaldırmaz, bunun yerine kötü amaçlı yazılımlara yönelik saldırı vektörlerini ekler.
katma yazar kasperd, kaynak
"Bilgisayarınızın yalnızca bir web sitesini ziyaret ederek bulaştığını biliyorum". Bu, yalnızca tarayıcınızda bir güvenlik açığı varsa geçerlidir. Tarayıcınız her zaman güncel ise, gerçekten bir sorun değil.
katma yazar Gudradain, kaynak
Twitter'dan aldığım meşru bir e-postanın sonunda şöyle yazıyor: “Bir e-postanın Twitter'dan olduğunu nasıl bilebilirim? Bu e-postadaki bağlantılar“ https://”ile başlayacak ve“ twitter.com ”içerecektir. tarayıcı, bir sitenin güvenli olduğunu bildirmek için bir asma kilit simgesi de gösterecektir. " Bu yanıltıcı mı?
katma yazar ahorn, kaynak

10 cevap

Hiç de bir garanti değil. HTTPS, web sayfasının SSL'ye sahip olduğu anlamına gelir; bu, yalnızca sayfaya olan bağlantınızın şifreli olduğu anlamına gelir. Sayfadaki içerik, SSL ile şifrelenmiş olsun veya olmasın, herhangi bir web sitesinde yayınlanabilecek herhangi bir şey olabilir.

42
katma
Sertifikadan ne haber? CA'ların site sahibinin kimliğini doğrulaması gerekmez mi? Etc?
katma yazar Ulkoma, kaynak
Tüm sertifikalar bir CA'dan satın alınmaz. İnsanlar kendi sertifikalarını imzalayabilirler. Ayrıca, bir sertifika için bir CA'ya para ödeyen herkes dürüst değildir, insanlar insandır.
katma yazar Rmano, kaynak
Korsanlığa yol açıyor ve bu soruya doğrudan cevap vermese de, SSL bağlantınızın kopması ve sizi yanlış bir güvenlik hissi uyandırabilir. Bu sorunla ilgili daha fazla bilgi için, bu sitedeki Ortadoğu'daki SSLSTRIP Adamı hakkındaki çeşitli gönderilere bakın: security.stackexchange. com/search? q = sslstrip
katma yazar Rmano, kaynak
SSL sitelerinin tümü de HEARTBLEED güvenlik hatasından arındırılmış değildir: security.stackexchange.com/search?q=heartbleed
katma yazar Rmano, kaynak
@Ulkoma Ayrıca, çoğu CA'nın bir sertifikanın alıcısının kimliğini doğrulamadığını, ancak yalnızca uğraştıkları kişinin etki alanını kontrol ettiğini (örneğin, etki alanındaki bir adrese e-posta göndererek) olduğunu unutmayın. Sertifika verenin kimliğini doğruladıklarını garanti ettikleri "genişletilmiş doğrulama" ssl sertifikalarına bakmak isteyebilirsiniz, ancak bu durumda bile sistem kusursuz değildir.
katma yazar Traven, kaynak

Hayır, HTTPS mutlaka bir sitenin zararlı olmadığı anlamına gelmez. HTTPS, bir sitenin güvenliği konusunda çok az şey ifade eder. Site ile iletişiminizi gizlice dinleyenlere ve kurcalamaya karşı korumak için özel olarak tasarlanmıştır, ancak sitenin güvenliği ile ilgili hiçbir şey sunmaz.

Evet, HTTPS üzerinden içerik sunan bir sitenin sertifikası var. Bu, CA'dan sertifika isteyen kişinin etki alanıyla ilişkili bir e-posta adresine sahip olduğu anlamına gelir. Uzatılmış Doğrulama sertifikaları (yeşil adres çubuğu sunanlar) hariç, bu tam anlamıyla budur. CA’dan hiç kimse sitenin güvenli, güvenli olduğunu ve kötü amaçlı yazılım sunmadığını doğrulamıyor. Bir SSL sertifikası olan veya olmayan herhangi bir site, bir saldırganın bir istismara hizmet etmek için onlardan yararlanmasına izin veren hata ve güvenlik açıklarına sahip olabilir. Ya da kötü niyetli veya bilmeden sitenin kötü amaçlı yazılım sunmasına neden olan bir yönetici veya kullanıcı. Sitenin kendisi yapmasa bile, bir reklam ağından veya başka bir siteden reklamlar (veya bu konuda başka herhangi bir içerikte) sunuluyorsa, bu savunmasız kalabilir.

Bu nedenle, HTTPS, hiç kimsenin trafiğinizi görüntüleyememesi veya kurcalayamayacağı anlamına gelir. Tüm bu anlama geliyor.

41
katma

Kısacası: Evet, gerçekten zararlı olabilir!

Bir siteye HTTPS üzerinden erişmek, bilgisayarınız ile web sitesi sunucusu arasındaki bağlantının şifreli ve güvenli olduğu anlamına gelir.

HTTPS ne yapar?

  • Şebeke üzerinden iletilen verileri şebekeniz arasında bilgisayar ve web sitesinin sunucusu, üçüncü kişilerin yakaladım.
  • Orta saldırılardaki adamı önleyin.

HTTPS ne yapmaz?

  • HTTPS, web sitesi tarafından sunulan içeriği virüslere veya zararlı öğelere karşı taramaz

Bu nedenle, web sitesinin yazarlarının (veya web sitesine yetkisiz erişim hakkı kazanmış birinin) web sitesinin kendisinin tarayıcınıza kötü niyetli içerik sunması için hala mümkündür.

9
katma
Muhtemelen, bir MITM saldırısı olasılığını hafiflettiğini söylemek daha doğrudur. Kullanıcıların makinesine erişim sağlandıktan sonra kendi CA kök sertifikamı vb. Yükleyebilirim. Veya kullanıcı aptal olabilir ve Chrome'daki "Riskleri anlıyorum" düğmesini vb. Tıklayabilir.
katma yazar Brian De Smet, kaynak

Https’den gelen güvenli , bir web sitesindeki/hizmetteki içerikle ilgili değildir.

Buna 'güvenli' denir çünkü teorik olarak güvenlik protokolleri (ssl/tsl ve diğerleri) değiş tokuş edilen bilgilerin kolayca anlaşılmasına izin vermez (veri akışını şifreler) mesajı anlamak için şifresini çözmek zorundasınız.

Şimdi bu kullanışlıdır, çünkü şifreler, sosyal güvenlik numaraları, kredi kartı numarası vb. Gibi bazı bilgiler, hasara neden olan bir kişi tarafından keşfedilirse birçok soruna neden olabilir.

Bu anlamda, https üçüncü bir tarafın bir web sitesiyle hangi bilgileri paylaştığımızı bilmesini zorlaştırarak bize yardımcı olur (ve bu nedenle çoğu banka en azından hizmetlerinde https kullanmaktadır), ancak bu bir web sitesini veya hizmeti durdurmaz bir sunucuya bulaştırarak size dolaylı olarak ulaşmak için kötü amaçlı yazılım veya saldırgandan etkilenebilir.

Şimdi, 'güvenli' terimini kullandığınızda, onu farklı şekillerde (kötü niyetli içeriğe karşı güvenlik anlamında) kastettiğinizden, bu anlamda https'in sizi hiç korumaması nedeniyle korumaması gerektiği sonucuna vardım. içeriğe (bağlantı ile ne iletildiği) dikkat etmiyor .

4
katma

Dikkatlice düşünülmesi gereken bir şey de, bazı antivirüslerin trafiği tarayarak çalışmasıdır. Site HTTPS kullanıyorsa, bir virüs aslında radardan tespit edilmeden kayabilir.

Bu, özellikle ISS'nizin, işvereninizin veya bir "Proxy" yi temel alan okulunuz tarafından sağlanan bir virüsten koruma hizmetiniz varsa önemlidir. Bu nedenle, bazı proxy'lerin BlueCoat Proxy gibi MITM'ler gibi davrandığı ve şifreli trafiği paketinden çıkardığı, okuduğu ve sonra sahte bir sertifika ile birlikte gönderdiği nedenler (bu Proxy'nin arkasındaki tüm istemci bilgisayarların GPO aracılığıyla kabul etmek üzere yapılandırıldığı) veya bir NAC cihazı ile).

Böylece, HTTPS iki ucu keskin bir kılıçtır. Kötü adamlardan (örneğin dolandırıcılardan, bilgisayar korsanlarından) iyi verileri (kredi kartı numaraları, şifreleri vb.) Gizlemek için iyi adamlar tarafından kullanılabilir. Ancak, kötü adamlar tarafından kötü verileri (ör. Virüsler, yasadışı dosyalar vb.) İyi adamlardan (virüs tarayıcıları, yasalar vb.) Gizlemek için de kullanılabilir.

Bu nedenle, "virüs koruma paritesi" nde HTTPS kullanarak AVOID kullanmalısınız.

3
katma
Ne demek istediğinizi anlıyorum, sizi neredeyse sinirlendirdim ama son satırı okuduğumda, anlattığım en zor durumdan farklı olarak HTTPS kullanmasak bile ne kadar riskle karşılaşacağımızı değerlendirmek zorundasınız çünkü akıllı ve uygulanabilir bir senaryodur). Saygılarımızla
katma yazar LoveMeSomeCode, kaynak
Her zamanki virüsten koruma yapılandırması, yerel virüsten koruma yazılımından, kullanıcıya erişmeden önce indirilen dosyaları taramasını isteyen tarayıcıya sahiptir, bu HTTPS ile uyumludur. Proxy virüs tarayıcılarına gelince, evet MITM oynamalılar. (HTTPS olmayan) kullanımınızı, kötü yapılandırılmış bir proxy virüs tarayıcısının olası varlığına dayandırmak pek akıllıca görünmüyor. Yerel bir tarayıcının yapamayacağı hiçbir şey yapmazdı ve normal bir kullanıcının HTTPS ile ilgili herhangi bir seçeneği olmadı.
katma yazar Corbin, kaynak
@ begueradj Neye karşı korumak istediğinize bağlıdır. Asıl amacınız bilgisayara virüs bulaşmamaksa, merkezi proxy'lerin trafiği taramasına izin vermek için HTTPS kullanmamak daha iyidir. Ancak amacınız verileri üçüncü taraflarca okunmaktan korumak ise, HTTPS kullanmak daha iyidir. Virüs taraması hakkında bir Kurumsal güvenlik politikası tasarlarken iyi bir orta hat, HTTPS'yi bankalar gibi önemli sitelerde etkinleştirmek (zorlamak) ve diğer tüm önemli olmayan sitelerde HTTPS'yi zorlamaktır.
katma yazar sebastian nielsen, kaynak
Demek istediğim, SSL'nin zorunlu olmadığı HTTPS veya HTTP değişkenlerini seçme seçeneğiniz olduğunda. Dosyaları virüs taramasından geçiren bir Proxy'ye sahip olması kötü bir yapılandırma değildir. Bazı ISS'ler, Şirketler veya okullar için, kullanıcılarına bir şey yüklemelerine gerek kalmadan AV hizmeti sunmaları oldukça akıllıca (eğer NAC/GPO ile zorlayamazlarsa bir kök sertifika hariç). Ancak, MITM olmadığında, site güvenilmezse HTTP kullanılabilir olduğunda HTTPS kullanmaktan kaçınmalısınız.
katma yazar sebastian nielsen, kaynak

Evet, kolayca olabilir - kötü amaçlı JavaScript veya virüsler HTTPS üzerinden HTTP kadar kolay bir şekilde aktarılamaz. Geçerli doğrulanmış HTTPS mesajının kaynağı bilindiğinden, bu durum daha az olası olabilir.

Bununla birlikte, HTTPS sitesi güvenlik deliğine sahipse, saldırıya uğramışsa, tehlikeye atılmışsa ve kötü amaçlı içerik yüklenmişse yine de olabilir. Uzun sürmeyecek, yakında yönetici bir veya başka bir yolla bilir ve kötü amaçlı yazılımı kaldırır. Ancak, yalnızca HTTPS üzerinden yayınlandığından içeriğe güvenmekten kaçınmayı tercih ederim.

3
katma

Doğrulanan tüm HTTPS bağlantılarının, adres çubuğunda https://www.example.com adres çubuğunda gösterilmesi durumunda, aslında www.example.com code>.

Sertifika, www.example.com 'un hiçbir şekilde zararlı olmadığını onaylamaz. Adres çubuğunun etrafında yeşil renkle vurgulanmış bir Genişletilmiş Doğrulama Sertifikası , asıl organizasyonu bilmenize izin verir Sitenin ardında, bu nedenle onlara güveniyorsanız, web sitesine güvenebilirsiniz. Ayrıca Organization Verified sertifikaları da vardır, ancak düzenli kullanıcıların bunları Domain Verified sertifikalarından ayırt etmesi zordur.

DV sertifikalarının elde edilmesi çok kolaydır - bu nedenle sitenin etki alanını zaten bilmediğiniz ve güvenmediğiniz sürece, siteye sadece https kullandığından dolayı herhangi bir ek güveniniz olmamalıdır.

1
katma

Yükseltilen diğer noktalara ek olarak, güvenilir bir sitenin (örneğin bankanız) bile kötü niyetli davranmasına neden olan bir virüsün bulaştığını belirtmek gerekir. Bu nedenle, kuruluşa güvenseniz bile, https hala web sitesinin zararlı şeyler yapmamasını garanti etmez.

1
katma

CA'nın saldırıya uğramış olabileceği (örneğin, DigiNotar) ve sahte sertifikalar vermek için kullanılmış olabileceği listesine ekleyin veya tarayıcınız, bazen bağlantıda olduğu gibi, bağlantınızın ele geçirilmesi ve kurcalanması için özel olarak sahte CA'lar kullanmaya zorlanabilir. kurumsal ağlar.

Ayrıca, sertifika MD5 kullandığı için sahte olabilirdi. Daha önce de belirtildiği gibi, tarayıcınızdaki kilit simgesi düşündüğünüzden başka bir şey demektir :).

1
katma
Tarayıcınız, MD5 ile imzalanmış sertifikalara güvenmemelidir. Örneğin, Firefox 2012 yılında onlara güvenmeyi bıraktı: wiki.mozilla.org/CA:MD5and1024
katma yazar Barend, kaynak

Trafiğinizi kötü amaçlı bir sunucuya yönlendirmek için bir Pharming saldırısı kullanılabilir. Bu sunucu okunaklı olana bağlanacak ve sizmiş gibi kimlik doğrulaması yapacak. Sonra size yasal sunucudan bilgi veya web sayfasını sunacak. Sizin için - okunaklı sunucuya güvenli bir şekilde bağlıyken görünecektir, ancak şimdi kanala erişimi olan bir MITM var ve onun üzerindeki her şeyi okuyabiliyor. Bu tür bir saldırının gerçekleştirilmesi zor ancak HTTPS'yi işe yaramaz hale getirebilir ...

Yani site dozu zararlı olmak zorunda değildir, bankanız olabilir. Ancak, bu yaklaşımı kullanarak, bazıları sitenin HTTPS'si olsa bile hesap bilgilerinizi, kimlik bilgilerinizi vb. Alabilir.

0
katma
SADECE uyumsuz sertifika ile ilgili (giderek iğrenç) uyarıları görmezden gelirseniz ya da saldırgan CA'yı kandırarak (özellikle EV için imkansız olmalı) veya onu alt üst ederek (oldu, ancak nadiren) sahte bir sertifika alabilir.
katma yazar dave_thompson_085, kaynak
Dediğim gibi ... yürütmek zor :)
katma yazar Pere, kaynak