防御 SSLstrip

防御 SSLstrip

我正在寻找一些有关保护服务器的建议SSL条。有人有什么建议吗?

答案1

SSLstrip 的目标不是服务器,而是用户与被劫持跳转之间的会话。它利用用户无法辨别真实 SSL 会话和类似会话的缺陷。因此,最好的缓解措施是确保您的用户知道正确的网站 SSL 连接是什么样的:https://,不要依赖网站图标“挂锁”等。

不幸的是,由于问题主要出在客户端,因此在服务器端你无法做太多事情来纠正用户的天真。你可以在登录/CC 页面上放置一些说明,指导用户检查 SSL 连接是否正确,但是谁能保证这些不会被攻击者破坏呢?

一种选择是使用类似 NoScript(或者 agl 提到的 HSTS)的东西。

我喜欢browser.identity.ssl_domain_display在 Firefox 中将其设置为 2,以使 SSL 页面更加明显,并设置network.IDN_show_punycode为 true 以避免同形异义词攻击。

再次强调,这些事情必须在客户端完成,并不保证由您的用户完成!假设至少有一些用户不关心并会点击任何东西。

答案2

HSTS 就是您想要的。它允许您指定您的网站应始终通过 HTTPS 访问,并且 Chrome 和 Firefox 4 支持它。(并且,使用 NoScript 扩展,Firefox 3 也支持它。)

http://dev.chromium.org/sts

答案3

  1. 在所有关键页面上强制使用 SSL(最好使用 EV SSL 证书,并且最好在所有页面上都使用 - 比如 PayPal - 这样就不会出现任何可以注入的 http 页面)

  2. 教育您的访问者,让他们知道如果他们收到 SSL 错误或切换到其他域名,一定有什么事情是可疑的

相关内容