Чи безпечний трафік https через незашифровану бездротову мережу?

21

Це те, про що я довго думав. Якщо я, скажімо, використовую Gmail через https, чи можу я хтось читати мої розмови та електронні листи, якщо я використовую незахищену бездротову мережу? Я припускаю, що дані будуть безпечними, оскільки вони використовують зашифроване з'єднання. Чи є ще щось, щоб розглянути?

wireless-networking security encryption

— Давидсколгана
джерело

3

Стаття, пов’язана з переглядом

— супроводу

1

Я думаю , що це була стаття , що спонукало його / її задати таке питання з цього питання.

— JFW

21

Я б подумав, що хтось все-таки може здійснити атаку "посереднього", якщо ви користуєтеся незахищеним Wi-Fi (або навіть захищеним Wi-Fi, якщо їм трапляється знайти спосіб дозволити). Ось чому потрібно завжди перевіряти, чи з’являється з’єднання SSL зеленим кольором у адресному рядку та / або вручну двічі перевіряти, чи сертифікат дійсний при використанні незахищеного Wi-Fi. Якщо припустити, що сертифікат правильний, то SSL повинен захищати ваші дані.

— Дарт Android
джерело

7

якщо по-справжньому зашифровані SSL з правильно перевіреними неконтрольованими сертифікатами SSL, атака MITM неможлива.

— ewanm89

@ ewanm89 Ось чому я повторюю, що потрібно перевіряти сертифікат, коли ви користуєтеся банківською / електронною поштою / чим-небудь чутливим для незахищених мереж. Якщо ви не помітили, що сертифікат не підтверджується, MITM можливий. На щастя веб-браузери в ці дні дуже важко їх не помітити.

— Darth Android

1

Щоб додати до @ ewanm89, неможливо бути пакетами MITM та нюхати - просто неможливо їх прочитати, оскільки вони зашифровані.

Гаразд, це розщеплення волосся. MITM та наявність пакету, який виглядає як випадкові дані, так само безглуздо, як це не робити в першу чергу в більшості випадків. Але так, можна було б відслідковувати, до якого домену підключається комп'ютер, але не знати фактичних даних, надісланих / отриманих. Крім того, якщо ми будемо абсолютно чесними, я теоретично міг би змусити клавіші AES мати достатню обчислювальну потужність (натякніть, що це потрібно багато).

— ewanm89

Крім того, я припускаю, що ЦС не порушений, один перевіряє, чи справді адміністратори веб-сайтів перейшли до ЦО і запитав у адміністраторів, яким повинен бути відбиток сертифіката іншого каналу. Як видно, правильна перевірка SSL-сертифіката є рідкісною (хоча це робиться в таких додатках, як openvpn, де адміністратор розподіляє серти до початку з'єднання, клієнт теж повністю перевіряє його).

— ewanm89

2

Я думаю, що ваші міркування правильні; щоб прочитати вашу інформацію, їм потрібно було б розшифрувати SSL. Був би лише один менший рівень шифрування для їх порушення, щоб отримати доступ до зашифрованих даних.

— PeterT
джерело

2

Поки ваші DNS та сервери rootkey вашого браузера дійсні, то зловмисник у тій же незахищеній бездротовій мережі, що і ви не можете потрапити в SSL-трубу з сервером.

DNS - це велика вразливість у цій галузі - якщо ваша мережа серверів DNS зловмисником заражається, то всі речі можуть здаватися захищеними, але насправді бути небезпечними.

Але якщо ваше питання полягає в тому, чи зможе випадковий хакер в аеропорту чи кав’ярні вдасться зламати вашу SSL-трубку до вашого банку, відповідь майже точно не відповідає.

— stevemidgley
джерело

1

У будь-якому випадку майте на увазі, що зашифровані лише дані всередині потоку http, але URL-адреси це не так, можливо, хтось може видати себе за себе.

— Ігнасіо Солер Гарсія
джерело

2

Це просто неправда. Все в запитуваній URL-адресі, крім доменного імені, зашифровується перед надсиланням через захищене з'єднання. Це включає сам GET-запит.

— Андрій

1

Вам також потрібно врахувати, що початкові сторінки, що не належать до SSL, не захищені.

Більшість захищених веб-сайтів, які ви відвідуєте, перенаправлять вас з http на https URL-адресу, коли ви переходите на сторінку входу, але в ненадійній мережі вас може надіслати хтось ще посеред цього.

Подумайте, що ви можете відвідати http://firstoverflowbank.com , який зазвичай перенаправить вас на https://login.firstoverflowbank.com, але в незахищеній мережі встановлено натомість надіслати вас на https://login.flrstoverflowbank.com замість цього . Ви, ймовірно, не помітите, навіть якщо ви знайдете час, щоб перевірити, і браузер покаже все як захищене.

Щоб уникнути подібних речей, додайте закладки або введіть https: // url безпосередньо, ніколи не покладайтеся на це переспрямування.

— Андрій
джерело