1. Accueil
  2. Question et réponse
  3. Lorsqu'une page fournit des éléments sécurisés et non sécurisés via https, les éléments sécurisés sont-ils compromis?

Lorsqu'une page fournit des éléments sécurisés et non sécurisés via https, les éléments sécurisés sont-ils compromis?

2011-04-12 4 views
2

Je ne suis pas sûr à 100% que j'utilise la bonne terminologie ou si je laisse de côté les informations nécessaires pour répondre. Alors s'il vous plaît soyez patient avec moi.Lorsqu'une page fournit des éléments sécurisés et non sécurisés via https, les éléments sécurisés sont-ils compromis?

Mon client souhaite inclure un flux vidéo provenant d'une source externe dans une zone membre de son site Web. La zone membres est distribuée via https et le flux vidéo ne l'est pas. Est-ce que cela compromet les données sécurisées?

Je sais que certains navigateurs alertent l'utilisateur que des données sécurisées et non sécurisées sont chargées sur la page. Franchement, mon client est d'accord avec cela, mais je ne veux pas aller de l'avant si les informations du compte utilisateur (en particulier, session, etc.) sont compromises.

Merci pour toute aide.

Source

2011-04-12 quakkels

+0

Comment fonctionne le flux vidéo? – SLaks

+0

Le flux vidéo provient d'un lecteur flash qui est servi à partir d'un autre serveur (bassin versant d'ustream) – quakkels

+0

Si vous chargez un fichier SWF non crypté, vous êtes très vulnérable. – SLaks

Répondre

4

Si vos pages référencent des pages Javascript ou Flash non cryptées, vous êtes totalement non protégé; un attaquant peut substituer n'importe quel Javascript qu'il veut, et peut voler des biscuits non-HTTP-seulement, ou faire des demandes HTTP arbitraires qui usurpent l'identité de l'utilisateur courant.

Si vous faites référence à un fichier CSS non crypté, vous êtes toujours vulnérable; les attaquants peuvent modifier arbitrairement votre mise en page, et can execute arbitrary code in IE and Firefox.

Si vous faites référence à des images non cryptées, vous êtes plutôt bien; tout ce que l'attaquant peut faire est de voir l'en-tête Referer et de découvrir quelle page l'utilisateur voit. (Il obtiendra également tous les cookies non-SSL seulement pour le domaine de l'image). L'attaquant peut également modifier les images en fonction de ses besoins, ce qui peut poser problème.

Source

2011-04-12 15:56:39 SLaks

+0

Donc ... si le flash embarqué/objet pointe vers un fichier flash non décrypté, alors je suis complètement vulnérable? – quakkels

+0

Correct. L'attaquant peut substituer un SWF malfaisant qui exécute des demandes d'envoi à votre serveur. Il existe peut-être des options de sécurité Flash qui atténuent ce risque. – SLaks

+0

http://code.google.com/p/doctype/wiki/ArticleFlashSecuritySolutions Vous pouvez ajouter ' ', mais vous serez toujours vulnérable aux fichiers SWF compilés avec les anciennes versions. – SLaks

1

Si vous identifiez votre utilisateur en fonction d'un cookie, par ex. En utilisant un SessionId standard, vous êtes vulnérable, même si vous ne faites que référencer des images statiques.

Par défaut, le navigateur de l'utilisateur renverra le cookie de session pour chaque demande au même hôte, sans rapport avec le protocole. C'est à dire. vous avez authentifié votre utilisateur en toute sécurité en utilisant HTTPS sur votre formulaire de connexion, et assurez-vous de continuer à utiliser HTTPS pour toutes les pages sensibles ...
Cependant, vous incluez également les images "non sensibles" sur HTTP ... le navigateur de l'utilisateur enverra volontiers le sensible cookie de session sur un HTTP non crypté, non sécurisé et en texte brut, lors de la demande de ces images.
Ensuite, il suffit de saisir ce cookie à partir de HTTP, et d'usurper l'identité de vos utilisateurs sur la partie sécurisée du site.

Remarque: par défaut. Vous pouvez changer ce comportement en ajoutant l'attribut secure; à vos cookies. Selon votre infrastructure, vous pouvez le configurer pour qu'il se produise automatiquement. Encore une fois, ce n'est pas la valeur par défaut, vous devez le modifier explicitement.
Et pendant que vous y êtes, ajoutez l'attribut httpOnly; aussi.

Source

2011-04-12 19:32:35 AviD

+1

Vous avez raison, j'avais supposé que tout était sur un domaine différent. (Il a dit _outside source_) – SLaks

+0

ohh, hmm ... @SLaks vous avez peut-être raison, manqué la partie sur le contenu hors site, si c'est effectivement le cas. Cependant, si tel est le cas, il y a une autre question, peut-être mieux, concernant la récupération du contenu d'un site tiers, potentiellement non fiable. Il y a quelques problèmes de sécurité qui en découlent, y compris les annonces hors site ... – AviD

+0

Je suppose qu'il se rend compte qu'il doit faire confiance à l'autre site. – SLaks

Questions connexes

 Questions connexes