Notará que usa TLS para el proceso de inicio de sesión. Esto sigue siendo un enfoque común para muchos sitios y no se consideró un peligro en el pasado para los sitios de consumo de contenido insensible. Se consideró que la sobrecarga de TLS supera los beneficios. Por lo tanto, muchos sitios solo realizan transacciones confidenciales como compras, información de tarjetas de crédito y procesos de inicio de sesión a través de TLS y, por lo tanto, podrían brindar una experiencia más rápida a sus usuarios y ahorrar algunos gastos.
Esto ya no debe considerarse una buena práctica como la sofisticación de los atacantes, y la probabilidad de un ataque ha aumentado. Si alguno de sus sitios se entrega a través de un canal no encriptado, un atacante en el medio podría fácilmente inyectar javascript en la página o alterar el contenido de la página de forma maliciosa, por ejemplo, alterando artículos de noticias.
Este es un ejemplo de cómo podría usarse para atacar Stack Exchange:
- ¿Qué es el virus de prueba de mono?
- ¿Qué harías para luchar contra el estado de vigilancia?
- ¿Qué pasos debe tomar un estudiante para prevenir el terrorismo cibernético?
- ¿Es posible hacer que una computadora sea inquebrantable?
- ¿Los programadores de computadoras trabajan en entornos aislados?
- El usuario solicita Stack Exchange mientras se encuentra en un punto de acceso Wifi o estado nacional que quiere piratear
- La respuesta de StackExchange se modifica cuando regresa al navegador para que el enlace de inicio de sesión vaya a un formulario que se publica en un servidor malicioso
- El formulario se publica en la página de inicio de sesión real
- El usuario inicia sesión automáticamente o se le solicita nuevamente (y probablemente lo considere un problema temporal)
- El atacante ahora tiene sus credenciales. Y, potencialmente, estos se reutilizan en otro lugar o si un inicio de sesión federado, como gmail, se utiliza potencialmente para acceder a su correo electrónico
La sobrecarga del cifrado ha disminuido, al igual que el costo. Realmente no hay ninguna buena razón para no usar TLS en todas partes. Tanto Let’s Encrypt como AWS Certificate Manager de Amazon permiten que los sitios agreguen cifrado de forma gratuita, y es muy simple. Pude agregar TLS a https://andy.boura.uk de forma gratuita en unos minutos usando AWS.
