Quante informazioni può vedere il mio ISP?

26

È possibile per il mio ISP vedere le password che inserisco sui siti Web e nei programmi di chat? E i siti Web SSL che iniziano con HTTPS, crittografano il mio nome utente e la mia password prima di raggiungere l'ISP?

security  ssl  privacy  https  isp 
Gohary
fonte
3
È possibile ? Sì per cose non SSL (che non è infallibile, ma sto cercando di mantenerlo breve e pratico). È probabile? Non così tanto.
Rob Moir,
1
Arjan,

Risposte:

25

Se inizi da un https://indirizzo, tutto viene crittografato tra il tuo computer e il server remoto, quindi il tuo ISP non può intercettare nessuno dei tuoi dati * . Il tuo ISP potrebbe facilmente visualizzare qualsiasi connessione non ssl ( http://).

Si noti che il plugin fireesheep firefox ha rivelato un buco in questo meccanismo l'anno scorso. Molti siti Web utilizzano https solo per il tuo accesso iniziale, quindi tornano a http per il resto del traffico. In questo caso il tuo ISP potrebbe intercettare il tuo traffico dopo aver effettuato l'accesso. Qualcun altro sulla tua rete locale potrebbe anche eseguire il plug-in firesheep e dirottare la tua sessione dicendo Facebook e impersonandoti.

La maggior parte dei siti Web di grandi dimensioni sta ora passando a https per correggere questa lacuna. Non è davvero qualcosa di cui devi preoccuparti troppo sulla tua rete domestica, ma dovresti essere consapevole di come funziona.

Supponendo che non si stiano ignorando gli avvisi sui certificati e che il proprio computer / browser non sia stato compromesso.

* Può anche vedere il nome host che stai richiedendo a un host eventualmente condiviso. Da TLS1.0 il nome host viene trasmesso in testo normale (SNI)

Phil Hollenback
fonte
@Arjan - con quella modifica questa risposta è molto meglio. Saluti.
Rory Alsop,
Inoltre, si dovrebbe notare che altri protocolli (ad esempio telnet:) sono solo in chiaro. YMMV con protocolli di chat.
Iszi,
Sì, l'avviso relativo ai programmi di chat è buono, in quanto potrebbero utilizzare protocolli diversi.
Phil Hollenback,
@Iszi Nessuno usa telnet, suppongo? Ho sempre usato cose del genere solo per divertimento (sic).
Camilo Martin,
@CamiloMartin Saresti sorpreso. I primi esempi che mi vengono in mente sono i MUD. Sono sicuro che ce ne sono altri.
Iszi,
9

Penso che potresti voler guardare il seguente video del 27 ° Chaos Communication Congress (CCC):

"Come ti vede Internet: dimostrando quali attività la maggior parte degli ISP ti vede fare su Internet"

  1. Pagina di informazioni
  2. Video (incorporamento) e mp4 da scaricare
  3. Pdf del parlato
labmice
fonte
4

Philiph ha ragione per " Se inizi da un https://indirizzo, tutto è crittografato tra il tuo computer e il server remoto " con un avvertimento: tutto ciò che sai con HTTPS è che tutto è crittografato tra il tuo computer e da qualche altra parte .

Esiste il rischio che le tue comunicazioni possano essere manomesse all'ISP usando un uomo nel mezzo dell'attacco - e se pensi che ciò non possa accadere, vedi le notizie sulla Tunisia che mostrano cosa può accadere se un agente maligno ha accesso a Livello ISP.

Questo può essere evitato solo se:

  • Un utente utilizza sempre l' https://URL corretto .
  • Un utente non ignora gli avvisi del certificato.
  • L'utente è sicuro al 100% che il proprio computer non sia stato manomesso.

Altrimenti, un ISP potrebbe manomettere la connessione in un modo che un utente non esperto di tecnologia potrebbe non notare.

Rory Alsop
fonte
Ok, allora pulisco. (Che dire dell'utilizzo della fonte Markdown per una migliore formattazione e collegamento?)
Arjan
1
Ho eliminato alcuni commenti, ora orfano un po 'il commento di weeheavy, in cui "sbagliato" era diretto verso di me, non verso la risposta: quegli apparecchi possono funzionare solo in ambienti aziendali, dove il browser è stato impostato per accettare certificati falsi.
Arjan,
0

Certo, il tuo ISP (o qualcun altro che utilizza le sue apparecchiature senza autorizzazione, il che è un rischio serio di per sé) potrebbe leggere dati non crittografati che attraversano la loro rete. In genere, il traffico non crittografato include il traffico e-mail, Web e FTP, a meno che non sia specificamente crittografato mediante SSL o TLS, come nel protocollo HTTPS.

Inoltre, in genere, il tuo ISP preferisce che almeno le password che invii su Internet (in particolare per i loro account di posta elettronica) siano crittografate, in modo da impedire agli aggressori di compromettere un router da qualche parte, come il tuo router wireless con la password predefinita e ottenere l'accesso ai loro server. Mentre il governo potrebbe costringere un ISP ad ascoltare il tuo traffico per i suoi scopi, esiste una minaccia molto maggiore per te da parte di persone che vorrebbero rubare le tue informazioni private e / o denaro.

Ernie Dunbar
fonte
TLS blocca il caso in cui "il governo potrebbe costringere un ISP" a violare?
Pacerier,
0

Non direttamente una risposta alla tua domanda, ma le password vengono più spesso rubate utilizzando un keylogger (software installato illegalmente sul tuo PC che registra tutte le sequenze di tasti) o ingegneria sociale, come il phishing. (Il phishing sta inviando e-mail che ti inducono ad accedere a una "versione falsa" di Facebook o qualsiasi altra cosa, rivelando così la tua password ai phisher e quindi reindirizzandoti a quella vera. La maggior parte delle vittime non si accorge nemmeno all'inizio di quello che è successo .)

CarlF
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.