在 Windows XP 上向 Internet Explorer 提供 HTTPS 是否可以确保安全?

信息安全 tls http 键盘记录器 windows-xp
2021-08-19 22:01:26

为什么 HTTPS 不是默认协议的答案声明许多网站仍然使用明确的 HTTP 而不是 HTTPS,因为所有这些都是正确的:

  • 该站点的大量访问者使用适用于 Windows XP (IE/XP) 的 Internet Explorer 6、7 或 8。
  • IE/XP 只能看到给定 IP 地址的端口 443 上的第一个证书,因为它使用 Windows XP 的 TLS 库,该库不支持服务器名称指示 (SNI)。(Windows XP 上的 Chrome 和 Firefox 使用不同的支持 SNI 的 TLS 库。)
  • 该站点与另一个 HTTPS 站点共享一个 IPv4 地址,因为它负担不起越来越稀缺的专用 IPv4 地址。

但是,截至 2014 年 4 月,对 IE/XP 和 Windows XP 其余部分的扩展支持已经结束。这意味着微软将不再修复 IE/XP 中的缺陷。恶意行为者可以通过利用由这些缺陷之一导致的零日漏洞安装不需要的软件,这将通过以下两种方式之一破坏 HTTPS 的机密性目的:

  • 键盘记录器可以捕获 IE/XP 用户进入 HTTPS 站点的所有支付凭证,例如信用卡号和 Amazon 或 PayPal 密码。
  • 在本地计算机上运行的代理和证书颁发机构可以对所有用户的 HTTPS 连接执行中间人 (MITM) 攻击。

在确定是否继续尝试向 IE/XP 用户提供安全页面时,网站的运营商应该权衡哪些因素?截至 2015 年第一季度,是否存在关于在安全站点上容纳或阻止 IE/XP 的压倒性争论?

3个回答

快速回答

不!

可接受的解决方法

即使是来自 IE 或 Windows XP 的 HTTPS 连接也不能被普通用户甚至熟练用户认为是安全的。早在微软宣布其支持截止日期之前,这是一个众所周知的弱组合。

因此,我建议网络服务器架构师采用 2 步方法。

  1. 检测引用者,如果是 IE 任意版本或 XP 任意版本,将客户端重定向到一个网页,表明您确定他是从一个被称为不安全的计算环境连接的。明确断言您不能对任何可能在他的计算机和他选择的软件级别上发生的连接的间谍负责。

  2. 询问他是否接受所涉及的风险并希望继续进行不安全的连接,即使可能会显示臭名昭著的小锁,即使您的服务器 URL 以https://您在 Web 服务器上安装的高级证书开头,甚至是。在用户明确同意后,通过 HTTPS 将他重定向到您的网络服务器的核心。如果出现分歧,祝贺他做出了一个不错的选择,并希望在完全信任的环境中尽快见到他。

这将是一种正确的沟通方式,通知您的客户,同时为他们提供一个集思广益的机会,并在某一天提高他们的安全性:)。

我建议,由于 Windows XP 现在不再支持(除了已从 Microsoft 购买扩展支持的组织),因此对于大多数站点来说,停止支持它是合理的。

然而,要权衡这一点,这实际上是一个逐个站点的考虑。关键因素可能包括

  1. 该网站目前使用 Windows XP/IE 6 的用户百分比(这应该可以从 Web 服务器日志、监控软件中获得)
  2. 是否有特定原因导致网站用户无法升级到更新的操作系统/浏览器组合(例如,在某些情况下,特定应用程序仅适用于特定浏览器/操作系统组合)
  3. 站点运营商必须为所有潜在用户提供支持是否有商业原因(例如合同要求)
  4. 网站处理什么样的业务。正如评论中提到的,Windows XP/IE 6 现在是一个已知的易受攻击的组合,因此,例如,在线银行应用程序可能会采取风险决定来切断不愿意或无法升级的用户,以减少潜在的欺诈损失。
  5. 网站维护与 IE 6 /Windows XP 的兼容性有哪些成本/后果(例如无法推出 SNI,或无法将服务器端软件升级到不支持该组合的版本)

基本上 daniel Azuelos 有一个非常可靠的答案,但我想对此进行一些扩展。

出于多种原因,XP 上的 IE 显然不是一个好主意,但首先,除非有人可以在 XP SP3 上安装 IE6,否则您至少可以将那个东西扔出窗外,并且任何没有 SP3 的 XP 都不能通过 HTTPS 访问首先使用公开信任的证书,因为任何公开信任的 CA 必须使用 SHA2(SHA-256、SHA-384 或 SHA-512)一段时间,这仅适用于 XP 的 SP3。

简而言之:

  • 公共证书不能保证 XP SP2 或更低版本,但如果这些 XP 计算机在您的控制范围内(如公司内部计算机),您可以使用自定义 CA 使它们正常工作
  • 使用 3DES 和 RSA 证书可以使 XP SP3 至少有点安全
  • 对于任何需要比一点更安全的东西(尤其是任何涉及处理高度个人数据或金钱的东西,我认为 XP 不是一个好主意。

所以,你可以做什么:

  • 如果您的用户通常通过输入来访问域,请检查标题,如果有足够清楚的说明它是 SP3 或不同的浏览器(特别是 Firefox,因为从 HTTPS 的角度来看它可以非常安全地运行,因为它确实如此它自己的 HTTPS 实现)然后将用户重定向到 HTTPS
  • 否则,如果您无法确定用户拥有哪个 XP Service Pack,并且他没有使用 firefox 或 chrome(我没有尝试过),请继续使用 HTTP 给用户一个插页式解释,说明他可以点击进入 HTTPS 页面,尽管它不会当他没有 XP Service Pack 3 或至少没有合适的浏览器时工作。
  • 还可以做的一件事是让每个 XP 用户在插页式广告上,并让他们同意他们使用不安全的计算机浏览网站。
  • 当 XP 用户通过 HTTPS 时,请不断提醒该用户(例如,在顶部有一个漂亮的小栏),该站点上发生的事情不能变得非常安全,并附有一个信息链接,尽可能简单地解释为什么会这样也就是说,即使他有一个像 Firefox 这样可以安全处理 HTTPS 的浏览器,恶意软件之类的东西也可以在 XP 上轻松播放,因此他在这台计算机上键入的任何内容都可以轻松受到攻击。
  • 此外,如果用户拥有 IE6 或 7,请明确 IE6 是一个糟糕的浏览器(IE8 也不是很好,但 IE6 或 7 更差),并为他们提供升级到 IE8 的信息,甚至更好,给他们浏览器的链接通常在 XP(如 Firefox)上可以更好地工作
    • 这不仅来自安全方面,还来自网页设计方面。Internet Explorer 8 是 XP 上唯一以半正确方式远程支持 web 标准的 IE。当然,很多东西都丢失了,但你可能需要在 IE8 上比在 IE6 或 7 上更少的 IE 特定黑客。
其它你可能感兴趣的问题
上一篇太多的网络隔离之类的东西? 下一篇UAC真的值得吗?