È possibile per il mio ISP vedere le password che inserisco sui siti Web e nei programmi di chat? E i siti Web SSL che iniziano con HTTPS, crittografano il mio nome utente e la mia password prima di raggiungere l'ISP?
È possibile per il mio ISP vedere le password che inserisco sui siti Web e nei programmi di chat? E i siti Web SSL che iniziano con HTTPS, crittografano il mio nome utente e la mia password prima di raggiungere l'ISP?
Risposte:
Se inizi da un https://
indirizzo, tutto viene crittografato tra il tuo computer e il server remoto, quindi il tuo ISP non può intercettare nessuno dei tuoi dati † * . Il tuo ISP potrebbe facilmente visualizzare qualsiasi connessione non ssl ( http://
).
Si noti che il plugin fireesheep firefox ha rivelato un buco in questo meccanismo l'anno scorso. Molti siti Web utilizzano https solo per il tuo accesso iniziale, quindi tornano a http per il resto del traffico. In questo caso il tuo ISP potrebbe intercettare il tuo traffico dopo aver effettuato l'accesso. Qualcun altro sulla tua rete locale potrebbe anche eseguire il plug-in firesheep e dirottare la tua sessione dicendo Facebook e impersonandoti.
La maggior parte dei siti Web di grandi dimensioni sta ora passando a https per correggere questa lacuna. Non è davvero qualcosa di cui devi preoccuparti troppo sulla tua rete domestica, ma dovresti essere consapevole di come funziona.
† Supponendo che non si stiano ignorando gli avvisi sui certificati e che il proprio computer / browser non sia stato compromesso.
* Può anche vedere il nome host che stai richiedendo a un host eventualmente condiviso. Da TLS1.0 il nome host viene trasmesso in testo normale (SNI)
telnet
:) sono solo in chiaro. YMMV con protocolli di chat.
telnet
, suppongo? Ho sempre usato cose del genere solo per divertimento (sic).
Penso che potresti voler guardare il seguente video del 27 ° Chaos Communication Congress (CCC):
"Come ti vede Internet: dimostrando quali attività la maggior parte degli ISP ti vede fare su Internet"
Philiph ha ragione per " Se inizi da un https://
indirizzo, tutto è crittografato tra il tuo computer e il server remoto " con un avvertimento: tutto ciò che sai con HTTPS è che tutto è crittografato tra il tuo computer e da qualche altra parte .
Esiste il rischio che le tue comunicazioni possano essere manomesse all'ISP usando un uomo nel mezzo dell'attacco - e se pensi che ciò non possa accadere, vedi le notizie sulla Tunisia che mostrano cosa può accadere se un agente maligno ha accesso a Livello ISP.
Questo può essere evitato solo se:
https://
URL corretto .Altrimenti, un ISP potrebbe manomettere la connessione in un modo che un utente non esperto di tecnologia potrebbe non notare.
Certo, il tuo ISP (o qualcun altro che utilizza le sue apparecchiature senza autorizzazione, il che è un rischio serio di per sé) potrebbe leggere dati non crittografati che attraversano la loro rete. In genere, il traffico non crittografato include il traffico e-mail, Web e FTP, a meno che non sia specificamente crittografato mediante SSL o TLS, come nel protocollo HTTPS.
Inoltre, in genere, il tuo ISP preferisce che almeno le password che invii su Internet (in particolare per i loro account di posta elettronica) siano crittografate, in modo da impedire agli aggressori di compromettere un router da qualche parte, come il tuo router wireless con la password predefinita e ottenere l'accesso ai loro server. Mentre il governo potrebbe costringere un ISP ad ascoltare il tuo traffico per i suoi scopi, esiste una minaccia molto maggiore per te da parte di persone che vorrebbero rubare le tue informazioni private e / o denaro.
Non direttamente una risposta alla tua domanda, ma le password vengono più spesso rubate utilizzando un keylogger (software installato illegalmente sul tuo PC che registra tutte le sequenze di tasti) o ingegneria sociale, come il phishing. (Il phishing sta inviando e-mail che ti inducono ad accedere a una "versione falsa" di Facebook o qualsiasi altra cosa, rivelando così la tua password ai phisher e quindi reindirizzandoti a quella vera. La maggior parte delle vittime non si accorge nemmeno all'inizio di quello che è successo .)