Http पर भेजे गए पासवर्ड के लिए अटैक वैक्टर क्या हैं?

10

मैं एक ग्राहक को एक वेब साइट के लिए एसएसएल के लिए भुगतान करने के लिए मनाने की कोशिश कर रहा हूं जिसे लॉगिन की आवश्यकता होती है। मैं यह सुनिश्चित करना चाहता हूं कि मैं उन प्रमुख परिदृश्यों को सही ढंग से समझूं जिनमें कोई व्यक्ति भेजे गए पासवर्ड देख सकता है।

मेरी समझ यह है कि जिस तरह से भेजा जा रहा है उसे देखने के लिए रास्ते में किसी भी हॉप्स एक पैकेट विश्लेषक का उपयोग कर सकता है। ऐसा लगता है कि किसी भी हैकर (या उनके मालवेयर / बॉटनेट) को एक ही सबनेट पर होना चाहिए क्योंकि कोई भी पैकेट अपने गंतव्य पर पहुंचने के लिए लेता है। क्या वह सही है?

इस सबनेट आवश्यकता के कुछ स्वाद को सही मानते हुए, क्या मुझे सभी हॉप्स या बस पहले एक के बारे में चिंता करने की ज़रूरत है? पहले से ही मैं स्पष्ट रूप से इस बारे में चिंता कर सकता हूं कि क्या वे सार्वजनिक वाईफाई नेटवर्क पर हैं क्योंकि कोई भी सुन सकता है। क्या मुझे इस बारे में चिंतित होना चाहिए कि सबनेट में क्या हो रहा है कि पैकेट इसके बाहर यात्रा करेंगे? मुझे नेटवर्क ट्रैफ़िक के बारे में एक टन नहीं पता है, लेकिन मुझे लगता है कि यह प्रमुख वाहक के डेटा केंद्रों के माध्यम से बह रहा है और वहां बहुत सारे रसदार हमले वैक्टर नहीं हैं, लेकिन कृपया मुझे सही करें अगर मैं गलत हूं।

क्या किसी पैकेट के विश्लेषक के साथ सुनने के लिए अन्य वैक्टर चिंतित हैं?

मैं एक नेटवर्किंग और सुरक्षा noob हूं, इसलिए कृपया मुझे सीधे सेट करने के लिए स्वतंत्र महसूस करें अगर मैं इसमें से किसी में भी गलत शब्दावली का उपयोग कर रहा हूं।

security  ssl  https  hacking  packet-sniffer 
KevinM
स्रोत
यदि साइट में बैंकिंग या वित्तीय विवरण, व्यक्तिगत जानकारी शामिल है, तो SSL लॉगिन कदम के लिए एक पूर्व-आवश्यकता है। अगर इसे आसानी से हैक किया जा सकता है, तो यह होगा।
मिच गेहूं
2
मुझे इसे बंद करने का कोई कारण नहीं दिख रहा है। यह प्रोग्रामिंग से संबंधित है।
साझा पहुंच बिंदु से इस साइट पर आने वाले किसी व्यक्ति के पास उनके क्रेडिट्स होंगे, भले ही एपी एन्क्रिप्शन का उपयोग करता है (क्योंकि हर किसी के पास कुंजी भी है)। यदि लोग अन्य साइटों पर अपने क्रेडिट का फिर से उपयोग करते हैं, तो यह एक समस्या है।
आरोन

जवाबों:

3

कुछ अन्य लोगों ने यहाँ उल्लेख नहीं किया है कि कुछ ब्राउज़र आपके फ़ॉर्म डेटा को कैश करते हैं। एसएसएल साइटों पर डिफ़ॉल्ट व्यवहार आम तौर पर कुछ भी कैश नहीं करना है जब तक कि आपने "मेरा पासवर्ड सहेजें" नहीं चुना। आमतौर पर पासवर्ड फ़ील्ड वैसे भी कैश नहीं करते हैं, लेकिन मैंने कुछ विषमताओं को देखा है (आमतौर पर क्रेडिट-कार्ड की जानकारी, जो मुझे पता है कि वास्तव में सवाल का विषय नहीं है)।

दूसरी बात ध्यान देने वाली यह है कि SSL एन्क्रिप्शन टीसीपी हैंडशेक पर शुरू होता है। एक बार एसएसएल के तहत आप एसएसएल पर एसएसएल से एसएसएल पर एसएसएल से अलग नहीं कर सकते हैं (एक तरफ पोर्ट नंबर के माध्यम से बनाई गई मान्यताओं से)।

आप "Im सिर्फ ब्राउज़िंग" अनुरोध से एक लॉगिन अनुरोध को भी अलग नहीं कर सकते हैं, यह पृष्ठ-प्रवाह को हैकर्स से बाधित करता है और यह भी सुनिश्चित करता है कि न केवल आपका पासवर्ड-डेटा सुरक्षित है, बल्कि आपका ब्राउज़िंग इतिहास / कुकी डेटा / और कोई भी व्यक्तिगत जानकारी जो आपके खाते में जाती है।

ऑल-इन-ऑल अगर आप स्पेक्ट्रम से मैन-इन-द-बीच के हमलों को खत्म करते हैं तो आप बहुत सारे संभावित हमलों में कटौती करते हैं, यह कहना नहीं है कि आपकी साइट हालांकि 'सुरक्षित' है। ज़ोनिंग नीति से आपको XSS हमलों से बचाने में मदद करनी चाहिए क्योंकि यदि आपका उपयोगकर्ता आपकी साइट से पुन: निर्देशित होता है तो आप एक जोन-परिवर्तन कर रहे हैं।

अरन ब
स्रोत
"पोर्ट नंबर के माध्यम से मान्यताओं"? क्या पोर्ट आमतौर पर एसएसएल (HTTP या FTP) के लिए 443 नहीं होगा?
ईंटा
4

मार्ग के साथ कहीं भी डेटा असुरक्षित है, न कि केवल पहले या अंतिम चरण में। यह काफी बोधगम्य है कि हस्तांतरण में शामिल एक प्रणाली उपयोगकर्ता के नाम, पासवर्ड और अन्य संवेदनशील डेटा को खोजती है। यह इस प्रकार है कि संवेदनशील डेटा को केवल एक लिंक पर यात्रा करनी चाहिए जो सभी तरह से सुरक्षित है और निश्चित रूप से वही है जो एसएसएल के लिए है। क्या डेटा शामिल है पर निर्भर करता है कि एसएसएल तय करने वाले स्थानीय कानून भी हो सकते हैं।

जॉन गार्डनियर्स
स्रोत
क्या यह सबनेट्स से गुजर सकता है जहां उपभोक्ताओं की पहुंच है या यह सिर्फ प्रमुख वाहक की रीढ़ से गुजर रहा है जिस स्थिति में हमें यह मानना ​​होगा कि हैकर ने क्रैक 3 (सिर्फ उदाहरण के लिए) ऑप्स सेंटर कहा है?
केविनम
आम तौर पर मैं यह उम्मीद नहीं करूंगा कि उपभोक्ता नेटवर्क के माध्यम से यात्रा करें लेकिन यह ध्यान रखें कि किसी भी प्रणाली से समझौता किया जा सकता है। जबकि हमें आईएसपी और वाहक के सिस्टम को अधिक सुरक्षित होने की उम्मीद करने में सक्षम होना चाहिए, हम यह भी जानते हैं कि अतीत में कई समझौता किए गए हैं। कोई भी सिस्टम या नेटवर्क हैकिंग के लिए प्रतिरक्षा नहीं है, इसलिए SSL जैसी चीजों की आवश्यकता है। यह आईएसपी कर्मचारी भी हो सकता है जो नेटवर्क पर यात्रा करने की जानकारी एकत्र कर रहा हो। एक साधारण निष्क्रिय नल की आवश्यकता है।
जॉन गार्डनियर्स
1
यह आपकी पसंदीदा सरकारी एजेंसी भी हो सकती है जो आपके आईएसपी की मदद से नल स्थापित करती है ... यदि आप मानते हैं कि हमला करना या नहीं करना आप पर निर्भर है।
पेहर्स
2

प्रॉक्सी सर्वर हैं जो डेटा स्टोर कर सकते हैं।

लेकिन उपयोगकर्ताओं के पासवर्ड को सुरक्षित रखने के लिए एक दायित्व भी है। कई उपयोगकर्ता पासवर्ड के सीमित सेट का उपयोग करते हैं, इसलिए एक असुरक्षित साइट उदाहरण के लिए अपने होमबैंक पासवर्ड से समझौता कर सकती है।

पीटर टिल्मन
स्रोत
1
हां, आपका दूसरा बिंदु एक महत्वपूर्ण है। मुझे लगता है कि वेबसाइटों के लिए यह उचित है कि वे उपयोगकर्ताओं की दुनिया का केंद्र हों।
1

आपका विश्लेषण वाजिब है, IMHO।

ध्यान देने वाली बात, मुझे लगता है, यह है कि आपके रास्ते में कैश हो सकते हैं। तो यह हो सकता है कि अनुरोध कहीं लॉग हो जाता है (विशेषकर यदि लॉगिन GET से अधिक है, जो भयानक होगा)।

संभवतः विचार करने वाली बात यह है कि अधिकांश नेटवर्क का उपयोग एक ऐसे क्षेत्र में होता है जहां एक ही नेटवर्क पर बहुत सारे अन्य लोग होते हैं। कार्य / विश्वविद्यालय / स्कूल मुख्य उदाहरण हैं। घर पर आप बहस कर सकते हैं कि यह कम जोखिम भरा है, क्योंकि यह केवल ऊपर की ओर है, जिसके बारे में आपको चिंतित होना चाहिए।

लेकिन वास्तव में, यहां कोई सवाल नहीं है। लॉग इन करते समय आप एसएसएल का उपयोग करते हैं। संभवतः आदमी के लिए सबसे सम्मोहक तर्क यह होगा कि यह आपकी वेबसाइट को अधिक विश्वसनीय लगता है, जैसे - आदर्श रूप से - आम जनता कभी भी ऐसी साइट पर लॉग इन नहीं करेगी जिसमें एसएसएल आधारित लॉगिन स्क्रीन नहीं है। ।

लेकिन यथार्थवादी होने देता है। लगभग निश्चित रूप से यह हमला वेक्टर उसके सिस्टम या उपयोगकर्ताओं से समझौता करने का तरीका नहीं है।

HTH।

1

मैं अपने स्वयं के सवालों के जवाब देने के लिए केविनम के पेशों से सहमत हो सकता हूं, और जॉन गार्डनियर्स सही दिशा में इशारा कर रहे हैं। मुझे इस बात से भी सहमत होना चाहिए कि सिल्की ने क्या कहा, "आदर्श रूप में - आम जनता कभी भी ऐसी साइट पर लॉग इन नहीं करेगी जिसमें एसएसएल आधारित लॉगिन स्क्रीन नहीं है।", और इंगित करें कि यह, हालांकि, समकालीन मामला नहीं है। बिल्कुल भी।

मैं रेशमी स्वर (शायद अनजाने में) से असहमत हूं, जो सर्वव्यापी धारणा की ओर जाता है कि, "आम जनता", मूर्ख है। केविनएम के ग्राहक को स्पष्ट रूप से एसएसएल की आवश्यकता की कोई अवधारणा नहीं है, और यह संक्षेप में आपका औसत व्यक्ति है। वे मूर्ख नहीं हैं, वे बस नहीं जानते हैं। कहने के लिए, "आपको इसकी आवश्यकता है", प्रतिक्रिया को स्पष्ट करेगा, "मैंने इसके बिना x साल जीया है, और मैं x को और अधिक ठीक-ठीक जीऊंगा", या शायद इससे भी बदतर प्रतिक्रिया, "मुझे कहा जा रहा है कि मुझे क्या चाहिए उससे नफरत है" । " तो सावधान रहें!

आपकी चिंता वैध है, केविन। आपके ग्राहक को SSL प्रमाणपत्र की आवश्यकता होती है। मुझे लगता है कि आपकी असली चिंता यह होनी चाहिए कि उन्हें कैसे बेचा जाए। यह न केवल उपयोगकर्ता लॉगिन के बारे में चिंतित है, बल्कि प्रशासक और ऑपरेटर है लॉगिन भी हैं जो एसएसएल द्वारा संरक्षित होने से भी लाभान्वित होंगे।

हां, इस संबंध में चिंतित करने वाली अन्य चीजें हैं, यहां तक ​​कि पैकेट सूँघने से भी अधिक, जैसे कि एक्सएसएस । वे कई हैं, और अच्छी तरह से प्रलेखित हैं

डैनियल
स्रोत
धन्यवाद डैनियल। मुझे लगता है कि न केवल मनमाना नियम होना महत्वपूर्ण है, बल्कि यह समझना है कि हमारे पास मौजूद सिद्धांतों को क्या जन्म देता है। इसलिए मैं यह सुनिश्चित करना चाहता था कि मैं इस अधिकार को स्पष्ट कर सकूं। मैं ग्राहक को एसएसएल प्राप्त करने के लिए मनाने में सक्षम था, शुक्र है!
केवीएम
0

पैकेट के बाद पूरे मार्ग में, यदि इसके HTTP पर सूँघा जा सकता है और डेटा देखा जा सकता है ... भले ही आप HTTP प्रॉक्सी में TOR का उपयोग करते हों ... कटाई-हमले का उपयोग करते हुए, आदि। डेटा-पैकेट्स को लीक करने के लिए प्रॉक्सी प्रॉक्सी कर सकता है ... इसलिए यदि संवेदनशील (पासवर्ड, व्यक्तिगत विवरण, निजी चित्र, आदि) के पास कुछ भी है ... तो यह केवल HTTPS पर उन्हें स्थानांतरित करने के लिए उपयुक्त है।

वह भी, यहां तक ​​कि HTTPS गलत कार्यान्वयन के साथ कमजोर है और उनके कई SSL अटैक इस पर लागू हैं ... फिर भी सावधानीपूर्वक कार्यान्वयन से बचा जा सकता है।

लेकिन, सादे पाठ के लिए HTTP का उपयोग करना नौसिखिया n / w बच्चों को पासवर्ड को सूँघने के लिए आमंत्रित करने जैसा है।

AbhishekKr
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.