web-dev-qa-db-ja.com

Windows上のInternet ExplorerにHTTPSを提供することはできますかXP安全にできますか?

回答 HTTPSがデフォルトのプロトコルではないのはなぜですか? 多くのサイトでは、これらすべてがtrueであるため、まだHTTPSではなくクリアHTTPを使用していると述べています。

  • このサイトへのかなりの数の訪問者が、WindowsのInternet Explorer 6、7、または8を使用していますXP(IE/XP)。
  • IE/XPは、Windows XPのTLSライブラリを使用するため、特定のIPアドレスのポート443で最初の証明書のみを参照できます。これは、サーバー名表示(SNI)のサポートが不足しているためです。 (Windows上のChromeとFirefox XP SNIをサポートする別のTLSライブラリを使用します。)
  • このサイトは別のHTTPSサイトとIPv4アドレスを共有しています。これは、ますます不足している専用IPv4アドレスを利用できないためです。

ただし、2014年4月の時点で、IE/XPと残りのWindowsの拡張サポートXPは終了しています。これは、IE/XPに欠陥があり、Microsoftが修正しないことを意味します。悪意のある俳優は、これらの欠陥の1つに起因するゼロデイ脆弱性を悪用して不要なソフトウェアをインストールする可能性があり、次の2つの方法のいずれかでHTTPSの機密保持の目的を無効にします。

  • キーロガーは、IE/XPユーザーがHTTPSサイトに入力するクレジットカード番号やAmazonまたはPaypalのパスワードなど、すべての支払い認証情報を取得する可能性があります。
  • ローカルマシンで実行されているプロキシおよび認証局は、すべてのユーザーのHTTPS接続に対して中間者(MITM)攻撃を実行する可能性があります。

安全なページをIE/XPユーザーに提供し続けることを試みるかどうかを決定する際に、ウェブサイトのオペレーターが考慮すべき要素は何ですか?安全なサイトでIE/XPに対応またはブロックすることについて、2015年の第1四半期の時点で圧倒的な議論はありますか?

tlshttpkeyloggerswindows-xp
5
Damian Yerrick

速い答え

番号!

許容できる回避策

IEまたはWindows XPからのHTTPS接続であっても、通常のユーザーや熟練したユーザーによって保護されているとは見なされません。 Microsoftがサポート期限を発表する前。

したがって、私はWebサーバーアーキテクトに2ステップのアプローチを提案します。

  1. リファラーを検出し、それがIE任意のバージョンまたはXP任意のバージョン)の場合、コンピューティングから接続していることを識別したことを示すWebページにクライアントをリダイレクトします安全ではないとして知られている環境。彼のコンピュータと選択したソフトウェアのレベルで発生する可能性のある彼の接続に対するスパイに対して責任を負うことができないことを明確に主張します。

  2. 関係するリスクを受け入れ、表示される可能性のある悪名高い小さなロックでも、サーバーのURLがhttps://で始まっていても、またあなたがインストールした高品質の証明書でも、安全でない接続を続行したいかどうか彼に尋ねますウェブサーバー。ユーザーからの明示的な同意に基づいて、HTTPS経由でユーザーをWebサーバーのコアにリダイレクトします。意見が一致しないときは、彼が良い選択をしたことを祝福し、完全に信頼できる環境の中ですぐに会えることを望んでいます。

これは、お客様に情報を伝える正しいコミュニケーションであり、同時にブレインストームを行い、いつかセキュリティを向上させる機会を提供します:)。

3
dan

Windows XPは(Microsoftから延長サポートを購入した組織を除いて)サポートされなくなったため、ほとんどのサイトではサポートを停止するのが妥当であることをお勧めします。

ただし、これを比較検討する場合、実際にはサイトごとの考慮事項です。主な要因は次のとおりです。

  1. 現在、サイトのユーザーの何パーセントがWindows XP/IE 6を使用していますか(これは、Webサーバーのログ、監視ソフトウェアから入手できるはずです)
  2. サイトのユーザーが最新のオペレーティングシステム/ブラウザーの組み合わせにアップグレードできない特定の理由はありますか(たとえば、特定のアプリケーションが特定のブラウザー/ OSの組み合わせでのみ機能する場合があります)
  3. サイト運営者がすべての潜在的なユーザーにサポートを提供しなければならない商業的理由はありますか(例:契約上の要件)
  4. サイトではどのような取引が行われていますか。コメントで述べたように、Windows XP/IE 6は既知の脆弱な組み合わせであるため、たとえば、オンラインバンキングアプリケーションは、潜在的な詐欺の損失を減らすためにアップグレードを望まない、またはアップグレードできないユーザーを遮断するリスク決定を行う可能性があります。
  5. IE 6/Windows XP(たとえば、SNIをロールアウトできない、またはアップグレードできない)との互換性を維持するためのサイトのコスト/結果その組み合わせをサポートしないバージョンのサーバー側ソフトウェア)
1
Rory McCune

基本的にダニエル・アズエロスにはかなり確かな答えがありますが、私はそれについて少し拡張したいと思います。

XPのIEは、多くの理由から明らかに良いアイデアではありませんが、何よりもまず、誰かがIE6をXP SP3に持つことができない限り、ウィンドウの外にあるものと、XPは、そもそも公に信頼された証明書を使用してHTTPSすることはできません。公的に信頼されたCAはSHA2(SHA-256、 SHA-384またはSHA-512)はしばらくの間、XPのSP3でのみ動作します。

要するに:

  • XP SP2以下は、公開証明書で保護できません。ただし、これらのXPコンピューターが(社内のコンピューターのように)制御できる場合は、カスタムCAを使用して機能させることができます。
  • XP SP3は、3DESおよびRSA証明書を使用して少なくとも少し安全にすることができます
  • 少しより安全である必要があるもの(特に、非常に個人的なデータやお金の処理を伴うもの)は、XPは良い考えではありません。

だからあなたは何ができますか:

  • ユーザーが通常ドメイン名を入力してドメインにアクセスする場合は、ヘッダーを確認し、SP3または別のブラウザー(具体的には、FirefoxはHTTPSの観点からかなり安全に実行できるため、具体的にはfirefox)であることを明確に示すものがあるかどうかを確認します独自のHTTPS実装)次に、ユーザーをHTTPSにリダイレクトします
  • それ以外の場合、XPユーザーが持っているサービスパックについて確信が持てず、Firefoxを使用していないか、chrome(試していない))HTTPにとどまるXP Service Pack 3または少なくとも適切なブラウザがない場合は機能しませんが、HTTPSページにクリックスルーできることを説明する内部ユーザー。
  • また、できることの1つは、インタースティシャルのすべてのユーザーにXP=ユーザーを許可し、セキュリティで保護されていないコンピュータを使用してWebサイトを閲覧することを許可することです。
  • XPユーザーがHTTPSにアクセスするときは、このサイトで発生することは情報リンクと共に非常に安全にすることはできないことを上部にある素敵な小さなバーなどで)常にユーザーに思い出させるつまり、FirefoxのようにHTTPSを安全に処理できるブラウザを使用している場合でも、マルウェアのようなものはXPで簡単にプレイできるため、ユーザーが入力するものは何でもできるためです。このコンピュータは簡単に危険にさらされる可能性があります。
  • また、ユーザーがIE6または7を持っている場合は、IE6が悪いブラウザーであることを明確にし(IE8もあまり良くないが、IE6または7は悪い)、IE8にアップグレードするための情報を提供するか、ブラウザーへのリンクを提供するXP(firefoxのように)
    • これはセキュリティの面だけではなく、ウェブデザインの面からも同様です。 Internet Explorer 8が唯一のIE on XPこれは、Web標準を半分適切な方法でリモートでサポートします。確かに、多くが欠落していますが、おそらくIE8でのIE固有のハッキングは、IE6または7よりもはるかに少なくて済みます。
1
My1