RFC: 6797
Оригинал: HTTP Strict Transport Security (HSTS)
Категория: Предложенный стандарт
Дата публикации:
Авторы: , ,
Перевод: Семенов Юрий Алексеевич
2.3.1.2. Активные сетевые атакеры

Упорный атакер может реализовать активную атаку, либо деперсонифицируя пользовательский DNS-сервер, либо в случае беспроводной сети, посредством фальсификации сетевых кадров или путем предоставления аналогично названных вредоносных точек доступа. Если пользователь находится позади беспроводного локального маршрутизатора, атакер может попытаться реконфигурировать маршрутизатор, использую пароль по-умолчанию и другие уязвимости. Некоторые сайты, такие как банки, полагаются на безопасность канала точка-точка, чтобы защитить себя и своих пользователей от таких активных атакеров. К сожалению, браузеры позволяют своим пользователям легко устранятся от этих мер защиты, для того чтобы быть приемлемым для сайтов, которые некорректно используют безопасный транспорт, например при генерировании и самоподписывании своих собственных сертификатов.

2.3.1.3. Ошибки разработки Web-сайта и применения

Безопасность в определенных условиях безопасного сайта (то-есть, такого, где все компоненты доступны через "https" URI) может быть полностью компрометирована активным атакером, использующим простую ошибку, такую как загрузка каскадного стилевого списка или SWF-фильма (Shockwave Flash) через небезопасное соединение (как СSS, так и SWF-фильмы могут при загрузке страницы к удивлению многих разработчиков web использовать скрипты, плюс некоторые браузеры не выдают так называемые предупреждения смешенного контента ("mixed content warnings"), когда SWF-файлы загружены через небезопасное соединение). Даже если разработчики сайта тщательно исследуют свою login-страницу на наличие "mixed content", одно небезопасное вложение где-либо на сайте компрометирует безопасность login-страницы, так как атакер может управлять login-страницей с помощью встраиваемого кода (напр., скрипта).

Замечание: "Смешенное содержимое" как это использовалось выше (смотри также раздел 5.3 [W3C.REC-wsc-ui-20100812]) относится к понятию, называемому в данном документе "mixed security context" (смешенный контекст безопасности) и которое не следует смешивать с понятием "mixed content" (смешенное содержимое), используемым в контексте языков разметки, таких как XML и HTML.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.