|
En utilisant le cryptage SSL pour sécuriser l'information est le serveur et le processeur client intensif, pour ne pas mentionner que le processus peut ralentir de façon significative la présentation des pages à vos visiteurs. Il n'est pas surprenant, certains webmasters ont mis en place une méthode sournoise pour éviter tout le problème en plaçant des informations sensibles telles que login / mot de passe sur les intrants pages d'accueil qui ne sont pas chiffrées en SSL. Le concept de programmation générale semble être que, puisque le login / mot de passe l'information est soumis à une page HTTPS crypté, les données sécurisées. Bon, pas si vite. Utilisation de mon secteur, la surveillance des sites web, j'ai décidé de vérifier d'abord et de voir comment cette pratique est répandue en réalité. Sur 12 sites contrôlés, 10 (soit 83%) ont fourni login / mot de passe entrées sur la page d'accueil. Clairement cette pratique est largement utilisée dans notre secteur. L'étape suivante consistait à déterminer si le login / mot de passe de l'information les 10 sites qui utilisent cette pratique effectivement soumis une information à une page SSL est activé. Il est choquant, neuf des 10 n'a pas fait. Un sniffer (HTTPLook par BinaryAge Software) a été utilisée pour confirmer ce comme indiqué ci-dessous. Les résultats ont été confirmés et même neuf entreprises employant cette pratique a transmis des informations en clair sur Internet. POSTE / utilisateur / client-HTTP/1.1 login.aspx Accept: image / gif, image / x-xbitmap, image / jpeg, image / pjpeg, ... Referer: (occultés pour protéger le coupable) Accept-Language: en-us Content-Type: application / x-www-form-urlencoded UA-CPU: x86 Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .... Hôte: (occultés pour protéger le coupable) Content-Length: 54 Connection: Keep-Alive Cache-Control: no-cache Cookie: Dana-Net = cookieEnabled = YES; ASP.NET_SessionId = 123 Action = Login & Nom = test & pwd = test & Submit.x = 23 & Submit.y = 5 Pourquoi une entreprise, eux et leurs clients à risque en employant une pratique qui rend clairement les données sensibles vulnérable à un homme du milieu (MITM) attaque? Étaient les entreprises qui tentent de sauver quelques dollars en installant pas de certificats de serveur SSL? Etait-ce une simple «commodité» afin que les clients pourraient économiser un clic de souris, ou était-ce juste mise en œuvre incorrecte? Tenter de répondre à ces questions, j'ai d'abord jointe [https: / / www] au nom de domaine de l'entreprise 9 pour voir si leur page d'accueil affichera en utilisant le cryptage SSL. Deux des 9 erreurs renvoyées indiquant l'absence de certificat de serveur SSL a été installé. Deux autres ont renvoyé des erreurs en indiquant les certificats ne correspond pas au nom de domaine. Il ya donc 44% n'ont pas de certificat SSL installé ou avait des avertissements de validation de certificat s'affiche pour l'utilisateur. GoDaddy offre des certificats SSL au prix de 19,99 $ par année, de sorte qu'il est difficile d'imaginer que cette pratique est motivée par le coût. Pas une pensée réconfortante. Ayant une entrée visiteur du site son login / mot de passe à partir de la page d'accueil par exemple, est nettement plus commode et ne l'enregistre un clic de souris. La question devient, comment un visiteur pour savoir si son information est effectivement transmise de façon sécuritaire? Certains sites examinés effectivement utilisé des graphiques et de verbiage pour indiquer des données client a été transmis en toute sécurité, alors qu'en fait elle n'est pas. Court de lecture de code, ou des tests avec des informations non valides, un visiteur du site ne sais pas. Il s'agit d'un grand coup à la confiance des utilisateurs d'enregistrer un clic de souris à mon avis. Que dire alors de la société qui utilise réellement cette pratique, et ne présente en effet à une page HTTPS? Sur la base de HTTPLook, le processus est sécurisé et les informations chiffrées. Si vous désirez présenter des informations à l'abri des pages non sécurisées, il apparaît, elle peut se faire en toute sécurité si elles sont appliquées correctement. Toutefois, ce faisant, on place les visiteurs dans la position peu enviable d'essayer de déterminer si votre site met en œuvre correctement la sécurité. Pour cette raison, je suggère fortement d'éviter cette pratique. Si vous n'êtes toujours pas convaincu que c'est une mauvaise pratique, répéter mes pas avec votre banque, les sociétés de cartes de crédit, une firme de courtage, ou site web en ligne préféré. Vous vous trouverez mai choqués, outrés, et un évangéliste contre cette pratique. Je sais que je suis! |