Czy ruch https w nieszyfrowanej sieci bezprzewodowej jest bezpieczny?

21

Zastanawiam się nad tym od dłuższego czasu. Jeśli korzystam, powiedzmy, z Gmaila przez https, czy ktoś może czytać moje wiadomości błyskawiczne i e-maile, jeśli korzystam z niezabezpieczonej sieci bezprzewodowej? Zakładam, że dane byłyby bezpieczne, ponieważ używa szyfrowanego połączenia. Czy jest coś jeszcze do rozważenia?

wireless-networking security encryption davidscolgan
źródło
3
Powiązany artykuł do przeczytania: Firesheep
Sathyajith Bhat
1
Myślę, że to był artykuł, który go skłoniło / jej zadać takie pytanie na ten temat.
JFW

Odpowiedzi:

21

Wydaje mi się, że ktoś może wykonać atak typu man-in-the-middle, jeśli korzystasz z niezabezpieczonego Wi-Fi (lub nawet zabezpieczonego Wi-Fi, jeśli zdarzy się, że znajdziesz sposób na pozwolenie). Dlatego trzeba zawsze sprawdzić, czy pokazy połączenia SSL na zielono w pasku adresu i / lub ręcznie dwukrotnie sprawdzić, czy certyfikat jest ważny przy użyciu niezabezpieczonego wifi. Zakładając, że certyfikat jest poprawny, SSL powinien chronić twoje dane.

Darth Android
źródło
7
jeśli naprawdę zaszyfrowane SSL przy użyciu odpowiednio sprawdzonych niezakłóconych certyfikatów SSL, atak MITM jest niemożliwy.
ewanm89
@ ewanm89 Dlatego powtarzam, że należy sprawdzać certyfikat podczas wykonywania operacji bankowych / e-mail / czegokolwiek wrażliwego w niezabezpieczonych sieciach. Jeśli nie zauważysz, że certyfikat nie sprawdza poprawności, MITM jest możliwe. Na szczęście w dzisiejszych czasach przeglądarki internetowe bardzo trudno tego nie zauważyć.
Darth Android
1
Aby dodać do @ ewanm89, nie jest niemożliwe być MITM i wąchać pakiety - po prostu niemożliwe jest ich odczytanie, ponieważ są one szyfrowane.
Ok, to rozdziela włosy. MITM i posiadanie pakietu, który wygląda jak losowe dane, jest tak samo bezcelowe, jak w większości przypadków nie robienie tego. Ale tak, można śledzić, z którą domeną łączy się komputer, ale nie wiedzieć, jakie rzeczywiste dane zostały wysłane / odebrane. Ponadto, jeśli mamy być całkowicie szczerzy, teoretycznie mógłbym brutalnie zmusić klawisze AES z wystarczającą mocą obliczeniową (wskazówka to dużo).
ewanm89
Zakładam również, że urząd certyfikacji nie jest zagrożony, sprawdza się, czy urząd certyfikacji, który administratorzy witryny faktycznie odwiedzili, i pyta administratorów, jaki powinien być odcisk palca certyfikatu innym kanałem. Jak widać, poprawne sprawdzenie certyfikatu SSL jest rzadkie (chociaż odbywa się to w aplikacjach takich jak openvpn, w których administrator dystrybuuje certyfikaty przed połączeniem, klient również w celu całkowitej weryfikacji).
ewanm89
2

Myślę, że twoje rozumowanie jest prawidłowe; aby odczytać twoje informacje, będą musieli odszyfrować SSL. Do złamania wystarczyłby tylko jeden poziom szyfrowania, aby uzyskać dostęp do zaszyfrowanych danych.

PeterT
źródło
2

Dopóki Twój DNS i serwery klucza root przeglądarki są prawidłowe, atakujący w tej samej niezabezpieczonej sieci bezprzewodowej, ponieważ nie możesz dostać się do potoku SSL z serwerem.

DNS jest dużą podatnością na ataki w tym obszarze - jeśli Twój łańcuch serwerów DNS zostanie zainfekowany przez atakującego, może to sprawić, że wszystkie rzeczy będą wyglądały na bezpieczne, ale w rzeczywistości będą niepewne.

Ale jeśli Twoim pytaniem jest, czy przypadkowy haker na lotnisku lub w kawiarni będzie w stanie włamać się do Twojej rurki SSL do twojego banku, odpowiedź jest prawie na pewno nie.

stevemidgley
źródło
1

W każdym razie pamiętaj, że tylko dane w strumieniu HTTP są szyfrowane, ale adresy URL nie są szyfrowane, więc może ktoś może cię podszyć.

Ignacio Soler Garcia
źródło
2
To po prostu nieprawda. Wszystko w żądanym adresie URL oprócz nazwy domeny jest szyfrowane przed wysłaniem za pośrednictwem bezpiecznego połączenia. Dotyczy to samego żądania GET.
Andrew
1

Należy również wziąć pod uwagę, że początkowe strony inne niż SSL nie są chronione.

Większość bezpiecznych witryn, które odwiedzasz, przekieruje Cię z http na adres URL https, gdy przejdziesz na stronę logowania, ale w niewiarygodnej sieci może zostać wysłany gdzieś indziej przez człowieka pośrodku.

Weź pod uwagę, że możesz odwiedzić http://firstoverflowbank.com , który zwykle przekierowuje cię do https://login.firstoverflowbank.com, ale w niezabezpieczonej sieci jest ustawiony zamiast tego, aby wysłać cię do https://login.flrstoverflowbank.com zamiast . Prawdopodobnie tego nie zauważysz, nawet jeśli poświęcisz czas na sprawdzenie, a przeglądarka pokaże wszystko jako bezpieczne.

Aby tego uniknąć, dodaj do zakładek lub wpisz bezpośrednio adres URL https: //, nigdy nie polegaj na tym przekierowaniu.

Andrzej
źródło