Ile informacji może zobaczyć mój dostawca usług internetowych?

26

Czy mój dostawca usług internetowych może zobaczyć hasła, które wpisuję na stronach internetowych i w programach czatu? A co z witrynami SSL zaczynającymi się od https, czy szyfrują moją nazwę użytkownika i hasło przed skontaktowaniem się z dostawcą usług internetowych?

Gohary
źródło
3
Czy to możliwe ? Tak, jeśli nie korzystasz z protokołu SSL (co nie jest niezawodne, ale staram się, aby było to krótkie i praktyczne). Czy to prawdopodobne? Nie tak bardzo.
Rob Moir

Odpowiedzi:

25

Jeśli zaczynasz od https://adresu, wszystko jest szyfrowane między komputerem a serwerem zdalnym, więc twój dostawca usług internetowych nie może przechwycić żadnych danych * . Twój dostawca usług internetowych może jednak z łatwością wyświetlić wszelkie połączenia inne niż ssl ( http://).

Zauważ, że wtyczka firefox firefire ujawniła lukę w tym mechanizmie w zeszłym roku. Wiele witryn używa protokołu https tylko do pierwszego logowania, a następnie przełącza się z powrotem na http dla pozostałej części ruchu. W takim przypadku Twój dostawca usług internetowych może przechwycić ruch po zalogowaniu. Ktoś inny w sieci lokalnej może również uruchomić wtyczkę firesheep i przejąć sesję, powiedz facebook i podszyć się pod Ciebie.

Większość dużych stron internetowych przechodzi obecnie do https, aby naprawić tę dziurę. Nie jest to tak naprawdę coś, o co musisz się zbytnio martwić w sieci domowej, ale powinieneś być świadomy tego, jak to działa.

Zakładając, że nie ignorujesz ostrzeżeń dotyczących certyfikatu, a komputer / przeglądarka nie została naruszona.

* Może także zobaczyć nazwę hosta, o którą prosisz od potencjalnie współdzielonego hosta. Od TLS1.0 nazwa hosta jest przesyłana w postaci zwykłego tekstu (SNI)

Phil Hollenback
źródło
@Arjan - przy tej edycji ta odpowiedź jest znacznie lepsza. Twoje zdrowie.
Rory Alsop,
Należy również zauważyć, że inne protokoły (tj . telnet:) są tylko tekstem jawnym. YMMV z protokołami czatu.
Iszi
Tak, ostrzeżenie o programach czatu jest dobre, ponieważ mogą używać różnych protokołów.
Phil Hollenback,
@Iszi Nikt nie używa telnet, zakładam? Zawsze używałem takich rzeczy do zabawy (sic).
Camilo Martin
@CamiloMartin Byłbyś zaskoczony. Pierwsze przykłady, które przychodzą na myśl, to MUD. Jestem pewien, że są inni.
Iszi
9

Myślę, że możesz obejrzeć następujący film z 27. Kongresu Komunikacji Chaosu (CCC):

„Jak widzi Cię Internet: demonstrowanie działań, które większość dostawców usług internetowych widzi w Internecie”

  1. Strona informacyjna
  2. Wideo (osadzanie) i mp4 do pobrania
  3. Pdf z mówić
labmice
źródło
4

Philiph ma rację, mówiąc:Jeśli zaczynasz od https://adresu, wszystko jest szyfrowane między komputerem a serwerem zdalnym ” z jednym zastrzeżeniem: wszystko, co wiesz o HTTPS, to to, że wszystko jest szyfrowane między komputerem a czymś innym.

Istnieje ryzyko, że twoja komunikacja może zostać naruszona przez dostawcę usług internetowych przy użyciu człowieka w środku ataku - a jeśli uważasz, że tak się nie stanie, zapoznaj się z wiadomościami o Tunezji, które pokazują, co może się stać, jeśli złośliwy agent ma dostęp do Poziom ISP.

Można tego uniknąć tylko, jeśli:

  • Użytkownik zawsze używa poprawnego https://adresu URL.
  • Użytkownik nie ignoruje ostrzeżeń certyfikatu.
  • Użytkownik jest w 100% pewien, że jego komputer nie został naruszony.

W przeciwnym razie dostawca usług internetowych mógłby manipulować połączeniem w sposób, którego nie znałby doświadczony użytkownik bez wiedzy technicznej.

Rory Alsop
źródło
Okej, więc sprzątanie. (Co powiesz na użycie źródła Markdown do lepszego formatowania i łączenia?)
Arjan
1
Usunąłem niektóre komentarze, teraz nieco osierocone w komentarzu @ weeheavy, w których „źle” skierowano do mnie, a nie do odpowiedzi: te urządzenia mogą działać tylko w środowiskach korporacyjnych, w których przeglądarka została skonfigurowana do akceptowania fałszywych certyfikatów.
Arjan
0

Jasne, twój dostawca usług internetowych (lub ktoś inny używający ich sprzętu bez pozwolenia, co samo w sobie stanowi poważne ryzyko) może odczytać niezaszyfrowane dane przechodzące przez ich sieć. Zwykle niezaszyfrowany ruch obejmuje ruch e-mail, internetowy i FTP, chyba że jest specjalnie szyfrowany przy użyciu SSL lub TLS, jak w protokole HTTPS.

Zazwyczaj twój dostawca usług internetowych wolałby, aby przynajmniej hasła wysyłane przez Internet (w szczególności dla ich kont e-mail) były szyfrowane, aby uniemożliwić intruzom uzyskanie dostępu do routera - na przykład routera bezprzewodowego z domyślne hasło - i uzyskiwanie dostępu do ich serwerów. Podczas gdy rząd może zmusić dostawcę usług internetowych do słuchania twojego ruchu w ich celach, istnieje o wiele większe zagrożenie dla ciebie od ludzi, którzy chcieliby ukraść twoje prywatne informacje i / lub pieniądze.

Ernie Dunbar
źródło
Czy TLS blokuje przypadek, w którym „rząd mógłby zmusić ISP” do zhakowania cię?
Pacerier
0

Nie jest to bezpośrednia odpowiedź na twoje pytanie, ale hasła są częściej kradzione przy użyciu keyloggera (oprogramowanie nielegalnie zainstalowane na twoim komputerze, które rejestruje wszystkie twoje naciśnięcia klawiszy) lub inżynierii społecznej, takiej jak phishing. (Phishing wysyła wiadomość e-mail, która nakłania Cię do zalogowania się na „fałszywą wersję” Facebooka lub cokolwiek innego, w ten sposób ujawniając twoje hasło phisherom, a następnie przekierowując Cię na prawdziwe. Większość ofiar nawet nie zdaje sobie sprawy z tego, co się stało .)

CarlF
źródło