لماذا لا يمكنك إدخال البيانات على المرايا بدون SSL

«المرآة» هي نسخة من موقع على نطاق/منطقة فرعية مختلفة. في المقامرة، غالبًا ما تُستخدم المرايا للحجب. إذا فتحت المرآة بدون HTTPS (SSL/TLS)، فلا يمكنك إدخال البيانات هناك: تتم قراءة الاتصال وتغييره في الطريق. لا يتعلق الأمر بـ «المتسللين في المقهى» فحسب، بل يتعلق أيضًا بالعقد المتوسطة - من جهاز التوجيه المصاب إلى المزود والوكيل والامتداد الضار.

ما الخطأ الذي يمكن أن يحدث بالضبط بدون SSL

1. سرقة تسجيل الدخول وكلمة السر

HTTP ينقل كل شيء "علانية. "ما يكفي من الشم في شبكة Wi-Fi العامة أو على جهاز التوجيه - وحساب مع مهاجم.

2. اختطاف الجلسات

ملفات تعريف الارتباط للجلسة بدون تسريب «آمن» وتسمح لك بتسجيل الدخول بدون كلمة مرور.

3. استبدال الصفحة/التفاصيل

يمكن لأي «وسيط» إدخال نموذج KYC مزيف بشكل سري، وتغيير رقم البطاقة/المحفظة للسحب، واستبدال عنوان الدعم.

4. استبدال المدفوعات والاستمارات «غير المرئية»

يغير حقن النص تفاصيل الدفع أو يضيف عمليات تقديم تلقائية مخفية - المال لا يطير «في أي مكان».

5. تجريد SSL

حتى لو كان المجال «الرسمي» موجودًا على HTTPS، يمكن للمهاجم على الشبكة إجبارك على الوصول إلى HTTP على مرآة بدون HSTS.

6. التصيد تحت ستار المرآة

يتنكر المستنسخ بدون شهادة (أو مع توقيع ذاتي/يسار) كمرآة عاملة ويجمع بيانات تسجيل الدخول و 2FA والبطاقة.

لماذا هو أيضًا غير قانوني/مكلف للمشغل

PCI DSS: يعد إدخال بيانات البطاقة على HTTP انتهاكًا مباشرًا. الغرامات وسحب الحيازة مهددة.

القانون العام لحماية البيانات/القوانين المماثلة: PII/KYC بواسطة HTTP = معالجة الانتهاكات الأمنية. مخاطر الغرامات والوصفات الطبية.

شروط الترخيص: تطلب معظم الجهات التنظيمية HTTPS في كل مكان وحماية البيانات الشخصية/بيانات الدفع.

السمعة و ADR: يكاد يكون من المؤكد فقدان الخلاف مع لاعب عند تسريبه على مرآة غير محمية.

الهجمات النموذجية على المرايا بدون SSL - على الأصابع

Evil Twin Wi-Fi: نقطة مزيفة تحمل نفس الاسم. تتم قراءة/تغيير جميع حركة مرور HTTP.

انتحال DNS: انتحال استجابة DNS لا يؤدي إلى حيث كنت تعتقد أنه سيؤدي. من الصعب رؤية HTTP.

حقن المزود/الوكيل: يدرج الإعلان/JS الضار «على الطريق».

امتداد الطفيلي في المتصفح: يغير أشكال وأرقام المحافظ فقط على صفحات HTTP.

البوابات الأسيرة (الفنادق/المطارات): قبل الترخيص، يتم حظر/استبدال HTTPS، و HTTP مفتوح - فخ مثالي.

«ولكن هناك أيضًا قلعة»... - نحلل الأساطير

قفل المتصفح موجود فقط على HTTPS. بدون HTTPS، لا يوجد «قفل» - وهذا علم أحمر.

الشهادة الموقعة ذاتيا/غير الصحيحة ليست "عادية. "إنه دائمًا ما يكون إما خطأ أو محاولة MITM.

«لا توجد مدفوعات، فقط تسجيل دخول» - تسجيل الدخول أكثر قيمة من المال: سيتم سرقة كل من الأموال والمستندات من خلاله.

كيف يمكن للاعب تمييز مجال آمن في 30-60 ثانية

1. العنوان بدقة مع «https ://» و« lock »بدون أخطاء.

2. Domain letter-to-letter: no 'rn' بدلا من 'm', Cyrillic بدلا من اللاتينية.

3. النقر فوق «القفل» → تم إصدار الشهادة من قبل CAs الموثوق بها، في SAN - هذا هو المجال.

4. لا توجد تحذيرات «غير آمنة» أو «محتوى مختلط» على صفحات تسجيل الدخول/المحفظة.

5. شك في ذلك - انتقل من العلامة المرجعية إلى المجال الرئيسي وانتقل إلى المرايا فقط من الروابط الداخلية للخزانة.

أوامر التحقق السريع (إذا كان بإمكانك استخدام وحدة التحكم)

باش
عرض سلسلة و SAN openssl s_client -connect mirror. مثال: 443 - مرآة servername. مثال -showcerts </dev/null 2 >/dev/null    openssl x509 - nout - subject - issuer - dates - xt subjectAltName

تحقق من رؤوس الأمان المجعدة -sI https ://مرآة. مثال    grep -ei 'صارم أمن النقل    سياسة أمن المحتوى    خيارات نوع المحتوى x    خيارات الإطار x    أسلاف الإطار    سياسة الإحالة    مجموعة ملفات تعريف الارتباط '

تأكد من إعادة توجيه HTTP إلى HTTPS curl -I http ://mirror. مثال

إذا لم تعمل HTTPS/تقسم، فنحن لا ندخل أي شيء.

ما الذي يتعين على المشغل فعله (المرايا أيضًا «بالغة»)

1. HTTPS في كل مكان: TLS 1. 2/1. 3، سلسلة صحيحة، التحميل المسبق HSTS (بعد التخلص من المحتوى المختلط).

2. حظر محتوى HTTP: موارد CSP و HTTPS الصارمة فقط.

3. إعادة توجيه HTTP→HTTPS على جميع المرايا، نفس سياسة ملفات تعريف الارتباط: "آمن ؛ HttpOnly ؛ نفس الموقع.

4. مراقبة العلامة التجارية للأشعة المقطعية: إصدار جديد لشهادة لنطاق «مماثل» - التنبيه والتحقق.

5. سجلات DNS CAA: تقييد أي CAs يمكن إصدار شهادات المجال/النطاق الفرعي.

6. تشفير mTLS و CDN: غالبًا ما تجلس المرايا خلف الوكلاء - يتم أيضًا تشفير حركة المرور إلى المنشأ.

7. التجديد التلقائي للشهادات + التنبيهات: 30/14/7/1 قبل يوم واحد من انتهاء الصلاحية.

8. لافتة تحذير أثناء الهجمات: «لا نطلب أبدًا بيانات على HTTP» + رابط لصفحة الأمان.

9. إجراءات إزالة المرايا التصيدية: المسجل/المضيف، قوائم كتلة المتصفح، شبكات الإعلانات.

10. Passkeys/TOTP + تكثيف الإجراءات الحساسة - حتى لو تم اختراق الشبكة، فلن تتمكن من سحب الأموال.

قائمة مراجعة اللاعب

قم بتسجيل الدخول فقط على https ://ومن العلامة المرجعية.
«قفل» بدون أخطاء ؛ شهادة لنفس المجال.
لا تدخل تسجيل الدخول/CCS/card إذا كتب المتصفح غير آمن أو أقسم على الشهادة.
تمكين 2FA (Passkeys/TOTP) وإشعارات الإدخال/التغيير.
→ شبكة Wi-Fi العامة فقط عبر VPN، وإلا انتظر شبكة آمنة.
أي شكوك - انتقل إلى المجال الرئيسي وافتح قسم «الإخطارات «/» الأمن «.

قائمة مراجعة المشغل

جميع المرايا على TLS 1. 2/1. 3، HSTS (+ التحميل المسبق)، CSP صارم، لا يوجد محتوى مختلط.
إعادة توجيه واحدة HTTP→HTTPS، ملف تعريف ارتباط 'آمن ؛ HttpOnly ؛ نفس الموقع.
رصد CT، CAA في DNS، التجديد التلقائي للشهادات.
تشفير TLS خلف CDN و mTLS على الخطافات الداخلية/الويب.
Passkeys/TOTP، زيادة لتغيير التفاصيل/الناتج.
صفحات عامة أمنية وتنبيهات داخل التطبيق أثناء الهجمات.
إجراءات الإزالة السريعة لاستنساخ التصيد.

الأسئلة الشائعة (قصيرة)

يمكنك إدخال تسجيل الدخول فقط، بدون كلمة مرور - فقط انظر ؟

لا ، ليس كذلك يمكن أن يتسرب أي مدخل على HTTP، وتسجيل الدخول + متبوعًا بكلمة مرور هو حزمة كلاسيكية للسرقة.

وإذا كانت الشهادة «موقعة ذاتيًا» لمدة ساعة - فهل هذا جيد ؟

لا ، ليس كذلك ثق فقط الشهادات من CAs معترف بها دون أخطاء المتصفح.

لماذا صمت مضاد الفيروسات ؟

لا يلتقط مضاد الفيروسات دائمًا استبدال MITM/الشكل. توقيع رقم 1 - لا HTTPS أو يقسم المتصفح على الشهادة.

المرآة بدون SSL هي دعوة لسرقة حساب ومال ووثائق. القاعدة بسيطة: لا يوجد HTTPS صالح → لا ندخل أي شيء. للاعبين - مجالات محمية فقط من العلامات المرجعية وممكنة 2FA. بالنسبة للمشغلين - مرايا بنفس معايير TLS الصارمة مثل الموقع الرئيسي: HSTS و CSP وإعادة التوجيه ومراقبة التصوير المقطعي المحوسب والإزالة السريعة لاستنساخ التصيد. إنه أرخص وأكثر أمانًا من أي «استخلاص» بعد الحادث.