OASAM-CRYPT-003: Insecure use of Transport Protocol

Descripción
La información transmitida por HTTP puede ser fácilmente interceptada en las comunicaciones. En el caso de utilizar HTTPS, un atacante puede utilizar técnicas tipo SSLStrip para acceder a la información, por lo que es necesario utilizar mecanismos adicionales como forzar, en el lado del cliente, que solo se permita enviar la información mediante canal seguro HTTPS.


Riesgos
Un usuario malintencionado podría ejecutar ataques sobre la criptografía utilizada. En el caso de utilización de HTTPS, existen diferentes ataques, el más conocido de ellos es el SSLStrip. SI el atacante tuviera éxito, tendría acceso a la información que en principio, debiera viajar de manera cifrada.


Recomendaciones
Se recomienda utilizar HTTPS en lugar de HTTP siempre que sea posible. Asimismo se recomienda establecer mecanismos en el lado del cliente que fuerze el uso del envío de la información en canal seguro, por ejemplo, redirigiendo a canal seguro si se detecta el intento de envío por canal no cifrado. Adicionalmente, se recomienda evaluar en los servidores web la necesidad de utilizar la cabecera HTTP Strict Transport Security. Mediante esta cabecera el navegador forzará el uso de canal cifrado en las comunicaciones.


Referencias
1. Flaw 40 de “42+ Best parctices in secure mobile development for iOS and Android”
2. SSLStrip, http://www.securitytube.net/video/193
3. Strict Transport Security header, https://www.owasp.org/index.php/HTTP_Strict_Transport_Security