Я ищу рекомендации по защите сервера от SSLstrip. У кого-нибудь есть предложения?
HSTS - это то, что вы хотите. Он позволяет указать, что к вашему сайту всегда должен быть доступ через HTTPS, и он поддерживается Chrome и Firefox 4. (И с расширением NoScript, Firefox 3 тоже.)
Видеть http://dev.chromium.org/sts
Целью SSLstrip является не сервер, а сеанс между пользователем и захваченным переходом. Он использует неспособность пользователей различать настоящий сеанс SSL и аналог. Лучшее решение - убедиться, что ваши пользователи знают, как выглядит правильное SSL-соединение с вашим сайтом: https: //, не полагайтесь на значок «замок» и т. Д.
К сожалению, поскольку проблема в основном на стороне клиента, на стороне сервера мало что можно сделать, чтобы исправить наивность пользователей. Вы можете разместить некоторые примечания на самой странице входа / CC, чтобы пользователи проверяли наличие надлежащего SSL-соединения, но кто может сказать, что злоумышленник не отключит его?
Один из вариантов - использовать что-то вроде NoScript (или HSTS, как упоминалось в agl).
Я люблю устанавливать browser.identity.ssl_domain_display на 2 в Firefox, чтобы сделать страницы SSL более очевидными и установить network.IDN_show_punycode значение true, чтобы избежать атак омографа.
Опять же, это вещи, которые должны выполняться на стороне клиента, а не гарантируются вашими пользователями! Предположим, что по крайней мере некоторым из ваших пользователей все равно, и они будут нажимать на что угодно.
Принудительно использовать SSL на всех критических страницах (желательно с использованием сертификата EV SSL и желательно на всех страницах - например, PayPal - чтобы не было никаких http-страниц, которые можно было бы внедрить)
Обучайте посетителей, чтобы они знали, что что-то не так, если они получат ошибку SSL или переключатся на другой домен.