Когда страница доставляет защищенные и незащищенные элементы через https, защищенные элементы скомпрометированы?

Я не уверен на 100%, что использую правильную терминологию или пропускаю информацию, необходимую для ответа. Так что, пожалуйста, будьте терпеливы со мной.

Мой клиент хочет включить видеопоток из внешнего источника в раздел для участников своего веб-сайта. Зона участников доставляется через https, а видеопоток - нет. Компрометирует ли это защищенные данные?

Я знаю, что некоторые браузеры предупреждают пользователя о том, что на страницу загружаются безопасные и незащищенные данные. Честно говоря, мой клиент согласен с этим, но я не хочу двигаться дальше, если информация об учетной записи пользователя (в частности, сеанс и т. д.) будет скомпрометирована.

Спасибо за любую помощь.


ssl https security network-protocols
person quakkels    schedule 12.04.2011    source источник
comment
Как работает видеопоток?   -  person SLaks    schedule 12.04.2011
comment
Видеопоток поступает через флеш-плеер, который обслуживается с другого сервера (водораздел ustream).   -  person quakkels    schedule 12.04.2011
comment
Если вы загружаете незашифрованный SWF, вы очень уязвимы.   -  person SLaks    schedule 12.04.2011
comment
Надеюсь, вы понимаете, что доверяете удаленному сайту.   -  person SLaks    schedule 13.04.2011

Ответы (2)


arrow_upward
4
arrow_downward

Если ваши страницы ссылаются на незашифрованный Javascript или Flash, вы полностью незащищены; Злоумышленник может заменить любой Javascript, который он хочет, и может украсть файлы cookie, не относящиеся только к HTTP, или сделать произвольные HTTP-запросы, которые выдают себя за текущего пользователя.

Если вы ссылаетесь на незашифрованный CSS, вы все еще уязвимы; злоумышленники могут произвольно изменять ваш макет и выполнять произвольный код в IE и Firefox .

Если вы ссылаетесь на незашифрованные изображения, у вас в основном все в порядке; все, что может сделать злоумышленник, — это увидеть заголовок Referer и выяснить, какую страницу просматривает пользователь. (Он также получит любые файлы cookie, не относящиеся только к SSL, для домена изображения). Злоумышленник также может изменить изображения в соответствии со своими потребностями, что может вызвать беспокойство.

person SLaks    schedule 12.04.2011
comment
Итак... если флэш-вставка/объект указывает на незашифрованный файл флэш-памяти, то я полностью уязвим? - person quakkels; 12.04.2011
comment
Правильный. Злоумышленник может подставить вредоносный SWF, который выполняет отправку запросов на ваш сервер. Могут быть параметры безопасности Flash, которые снижают этот риск. - person SLaks; 12.04.2011
comment
code.google.com/p/doctype/wiki/ArticleFlashSecuritySolutions Вы можете добавить <param name="allowScriptAccess" value="never"> <param name="allowNetworking" value="none"> <param name="swliveconnect" value="false">, но вы по-прежнему будете уязвимы для SWF, скомпилированных для более старых версий. - person SLaks; 12.04.2011
comment
что вы имеете в виду «скомпилировано против более старых версий»? Вы хотите сказать, что злоумышленник может скомпилировать swf для версии 8 флэш-памяти и обойти эти меры безопасности? - person quakkels; 12.04.2011
comment
Да, но до версии 7, а не 8. - person SLaks; 12.04.2011
comment
imo - Flash в целом кажется плохо реализованной концепцией. - person quakkels; 12.04.2011
comment
видимо... загружаемому swf нужен доступ к сценарию, сеть и т.д... :-( - person quakkels; 12.04.2011
comment
Здесь есть много хороших моментов, однако вы пропустили отметку в нижней строке изображений. Смотрите мой ответ. Кроме того, @quakkels вы также можете попробовать на security.stackexchange.com... - person AviD; 12.04.2011
comment
Не может ли злоумышленник также изменить возвращаемое изображение, потенциально заставляя пользователей следовать инструкциям, содержащимся в этом изображении? (например, Ваш компьютер в опасности! Быстро: перейдите на bit.ly/...) - person StriplingWarrior; 09.09.2014
comment
@StriplingWarrior: Да; Вот почему браузер так показывает желтый предупреждающий треугольник, если есть небезопасные изображения или CSS. - person SLaks; 10.09.2014
comment
@SLaks: я так и думал. Возможно, вам следует уточнить утверждение «Вы в порядке» в последнем абзаце. - person StriplingWarrior; 10.09.2014

arrow_upward
1
arrow_downward

Если вы идентифицируете своего пользователя на основе файла cookie, например. используя стандартный SessionId, вы уязвимы, даже если ссылаетесь только на статические изображения.

По умолчанию браузер пользователя повторно отправляет файл cookie сеанса для каждого запроса на тот же хост, независимо от протокола. т.е. вы безопасно аутентифицировали своего пользователя, используя HTTPS в форме входа, и убедитесь, что продолжаете использовать HTTPS для всех конфиденциальных страниц...
Однако вы также включаете "неконфиденциальные" изображения через HTTP... браузер пользователя с радостью отправит чувствительный файл cookie сеанса по незашифрованному, незащищенному, текстовому протоколу HTTP при запросе этих изображений.
Тогда остается просто получить этот файл cookie из HTTP и выдать себя за пользователя. на защищенной части сайта.

Обратите внимание, что это по умолчанию. Вы МОЖЕТЕ изменить это поведение, добавив атрибут secure; в свои файлы cookie. В зависимости от вашего фреймворка вы можете настроить его так, чтобы он происходил автоматически. Опять же, это не значение по умолчанию, вы должны явно изменить его.
И пока вы это делаете, добавьте также атрибут httpOnly;.

person AviD    schedule 12.04.2011
comment
Ты прав; Я предполагал, что все находится в другом домене. (Он сказал внешний источник) - person SLaks; 13.04.2011
comment
о, хм ... @SLaks, возможно, вы правы, пропустили часть о том, что контент находится за пределами сайта, если это действительно так. Однако, если это так, есть другой вопрос, возможно, лучше — о получении контента со стороннего, потенциально ненадежного сайта. Из-за этого возникает довольно много проблем с безопасностью, включая стороннюю рекламу... - person AviD; 13.04.2011
comment
Я предполагаю, что он понимает, что должен доверять другому сайту. - person SLaks; 13.04.2011
comment
@Slaks не обязательно. Есть лучшие и худшие способы сделать это, и он может не осознавать, что в некоторых случаях всемогущая междоменная политика не так сильна, как думает большинство. - person AviD; 13.04.2011