В идеале, как должен HSTS / SSL Everywhere / Let's шифровать работу с захваченными порталами Wifi?

Question

В идеале, как должен HSTS / SSL Everywhere / Let's шифровать работу с захваченными порталами Wifi?

Некоторые порталы Wi-Fi в неволе требуют возможности 301/302 перенаправлять пользователя на страницу аутентификации / условий обслуживания, прежде чем разрешить доступ к Интернету.

Это противоречит SSL, который не может быть перехвачен обычной кофейней, предлагающей клиентам Wi-Fi. В этом случае пользователи могут получить ошибку SSL при подключении к https://facebook.com/, и сертификат выдан в частном порядке. Очевидно, что безопасность нет-нет.

Так что теперь с Wifi + HTTPS соединение не будет установлено. Умные пользователи могут перейти к "http://" версии сайта, чтобы "инициировать" перенаправление, но это уже не надежно с HSTS и закреплением сертификата, поскольку перенаправление портала не может быть отправлено.

С ростом популярности HSTS и пиннинга многие сайты, которые "угадывает" пользователь, приведут к ошибке браузера и не будут перенаправлены на локальную точку аутентификации.

Вопрос

Каково идеальное смягчение для этого? Какие конкретные лучшие практики?
Должен ли я рассмотреть отсутствие SSL для naked / root и www домена для выполнения перенаправлений?
Должен ли я иметь совершенно другой домен верхнего уровня для HSTS?

Я спрашиваю, чтобы я мог сделать индивидуальное использование юзабилити против безопасности безопасности.

0

ssl captive-portal hsts pinning

Источник

random65537 06 сен '17 в 16:55

3 ответа

Другие вопросы по тегам ssl captive-portal hsts pinning

Steffen Ullrich 06 сен '17 в 17:51 2017-09-06 17:51 · Answer 1 · 2017-09-06 17:51

Я не рекомендую явно иметь дело с проблемами портала на стороне сервера. Мобильные устройства уже включают обнаружение портала, как и Chrome, и я думаю, что видел это и в Firefox. Эти существующие механизмы распознают проблемы из-за нехватки порталов и дают пользователю возможность принять необходимые условия и т. Д. В отдельном окне или даже приложении.

ThoriumBR 06 сен '17 в 17:48 2017-09-06 17:48 · Answer 2 · 2017-09-06 17:48

На данный момент нет способа чисто перенаправить HTTPS. IETF уже работает над решением, и первым этапом является август /2018.

Но Android и iOS обнаружат захваченный портал и попросят пользователя войти в систему, а пользователи Windows/MacOS также получат уведомление. Вы можете разместить QR-коды на портале аутентификации, и люди будут осматривать стены в поисках помощи. Ничто не может стоять между подростками и WIFI в наши дни...

Barry Pollard 07 сен '17 в 07:22 2017-09-07 07:22 · Answer 3 · 2017-09-07 07:22

Не работает И это становится все труднее обойти, так как все больше и больше сайтов переходят на HTTPS и HSTS.

http://neverssl.com/ был явно настроен как сайт, чтобы обойти это, но это зависит от того, знает ли пользователь об этом сайте.

На вашем сайте вы ничего не можете сделать, не жертвуя безопасностью своего сайта (т.е. отключив HSTS и надеясь, что пользователи не добавят в закладки HTTPS-сайт).