Encrypted communications are an essential requirement for banks and other financial websites, but HTTPS alone is not sufficient to defend these sites against man-in-the-middle attacks. Astonishingly, many banking websites lurk amongst the 95% of HTTPS servers that lack a simple feature that renders them still vulnerable to pharming and man-in-the-middle attacks. This missing feature is HTTP Strict Transport Security (HSTS), and only 1 in 20 secure servers currently make use of it, even though it is supported by practically all modern browsers.
Each secure website that does not implement an HSTS policy can be attacked simply by hijacking an HTTP connection that is destined for it. This is a surprisingly feasible attack vector, as there are many ways in which a user can inadvertently end up connecting via HTTP instead of HTTPS.
Le comunicazioni criptate sono un requisito essenziale per le banche e per altri siti finanziari, ma HTTPS da solo non è sufficiente per difendere questi siti da attacchi Man In The Middle. Sorprendentemente molti siti web bancari fanno parte di quel circa 95% di server HTTPS che non dispongono di una semplice funzionalità che li rende ancora vulnerabili ad attacchi pharming e Man In The Middle. Questa funzionalità mancante è HTTP Strict Transport Security (HSTS) ed attualmente solamente 1 su 20 server sicuri ne fanno uso, anche se è supportata da praticamente tutti i browser.
Ogni sito web sicuro che non implementa la policy HSTS può essere attaccato semplicemente dirottando una connessione HTTP a lui destinata. Questo è un vettore di attacco sorprendentemente fattibile, poiché vi sono molti modi con cui un utente può inavvertitamente connettersi con HTTP invece che con HTTPS.
Reference
Nessun commento:
Posta un commento