Il traffico https su una rete wireless non crittografata è sicuro?

21

Questo è qualcosa che mi chiedevo da molto tempo. Se, ad esempio, sto utilizzando Gmail tramite https, qualcuno può leggere le mie conversazioni e le mie e-mail di messaggistica istantanea se utilizzo una rete wireless non protetta? Presumo che i dati sarebbero al sicuro, poiché utilizza una connessione crittografata. C'è qualcos'altro da considerare?

wireless-networking security encryption

— davidscolgan
fonte

3

Articolo correlato da leggere: Firesheep

— Sathyajith Bhat

1

Penso che sia stato l'articolo che lo ha spinto a porre una domanda del genere su questo argomento.

— JFW,

21

Penserei che qualcuno potrebbe ancora eseguire un attacco man-in-the-middle se sei su un wifi non sicuro (o anche un wifi sicuro, se capita di trovare un modo per essere autorizzato). Questo è il motivo per cui è necessario verificare sempre che la connessione SSL venga visualizzata in verde nella barra degli indirizzi e / o ricontrollare manualmente che il certificato sia valido quando si utilizza la connessione wifi non protetta. Supponendo che il certificato sia corretto, allora SSL dovrebbe proteggere i tuoi dati.

— Darth Android
fonte

7

se veramente crittografato SSL con certificati SSL non compromessi correttamente controllati, l'attacco MITM è impossibile.

— ewanm89,

@ ewanm89 Per questo motivo ho ripetuto che è necessario controllare il certificato quando si effettuano operazioni bancarie / e-mail / qualsiasi cosa sensibile su reti non garantite. Se non si nota che il certificato non riesce a convalidare, è possibile MITM. Fortunatamente i webbrowser in questi giorni rendono molto difficile non notarlo.

— Darth Android,

1

Per aggiungere a @ ewanm89, non è impossibile essere un MITM e pacchetti sniff - è impossibile leggerli perché sono crittografati.

Va bene, quello è spaccare i capelli. MITM e avere un pacchetto che assomiglia a dati casuali è inutile come non farlo nella maggior parte dei casi. Sì, si potrebbe tracciare anche il dominio a cui si sta connettendo un computer, ma non conoscere i dati effettivi inviati / ricevuti. Inoltre, se vogliamo essere perfettamente onesti, in teoria potrei forzare brutalmente i tasti AES con una potenza di calcolo sufficiente (suggerimento che ci vuole molto).

— ewanm89,

Inoltre, suppongo che la CA non sia compromessa, si verifica che la CA che gli amministratori del sito abbiano effettivamente fatto a quella CA e abbia chiesto agli amministratori quale dovrebbe essere l'impronta digitale del certificato da un altro canale. Come si può vedere, il controllo corretto di un certificato SSL è raro (anche se viene eseguito in applicazioni come openvpn in cui l'amministratore distribuisce i certificati prima della connessione, anche il client per verificarlo totalmente).

— ewanm89,

2

Penso che il tuo ragionamento sia corretto; per leggere le tue informazioni avrebbero bisogno di decifrare SSL. Ci sarebbe solo un livello in meno di crittografia da interrompere per poter accedere ai dati crittografati.

— PeterT
fonte

2

Fintanto che il tuo DNS e i server rootkey SSL del tuo browser sono validi, un aggressore sulla stessa rete wireless non sicura non puoi accedere alla tua pipe SSL con un server.

Il DNS è la grande vulnerabilità in quest'area - se la tua catena di server DNS viene infettata da un utente malintenzionato, ciò può far sembrare tutti i tipi di cose sicuri ma in realtà non sicuri.

Ma se la tua domanda è se un hacker casuale in un aeroporto o in un bar sarà in grado di hackerare il tuo tubo SSL verso la tua banca, la risposta è quasi certamente no.

— stevemidgley
fonte

1

In ogni caso, tieni presente che solo i dati all'interno del flusso http sono crittografati, ma non gli URL, quindi forse qualcuno può impersonarti.

— Ignacio Soler Garcia
fonte

2

Questo semplicemente non è vero. Tutto nell'URL richiesto tranne il nome di dominio viene crittografato prima di essere inviato tramite la connessione protetta. Ciò include la stessa richiesta GET.

— Andrew,

1

È inoltre necessario considerare che le pagine iniziali non SSL non sono protette.

La maggior parte dei siti sicuri che visiterai ti reindirizzeranno da un http a un URL https quando vai alla pagina di accesso, ma su una rete non affidabile, potresti essere inviato da qualche altra parte da un uomo nel mezzo.

Considera che si può visitare http://firstoverflowbank.com , che di solito si reindirizzare a https://login.firstoverflowbank.com ma sulla rete non protetta è impostato, invece di inviare a https://login.flrstoverflowbank.com invece . Probabilmente non lo noterai, anche se ti prendi il tempo per controllare e il browser mostrerà tutto come sicuro.

Per evitare questo tipo di cose, aggiungi ai segnalibri o digita direttamente l'URL https: //, non fare mai affidamento su quel reindirizzamento.

— Andrea
fonte