Esiste qualche differenza tra HTTP e HTTPS quando si utilizza la mia connessione Internet domestica / personale

50

Prima di tutto sono uno sviluppatore web e non un esperto di sicurezza. Ho letto molti articoli sulla differenza tra HTTPS e HTTP , incluso questo sito.

L'idea di base che ho ricevuto da loro è che quando si utilizza HTTPS tutte le cose vengono crittografate sul lato client e quindi inviate al server. (Per favore correggimi se sbaglio)

Quindi anche il nostro network admin o altra persona nella rete non può ottenere nulla.

Quando uso il mio laptop su home (rete fidata) , c'è qualche vantaggio nell'usare HTTPS su HTTP ?

    
posta I am the Most Stupid Person 24.08.2017 - 05:41
fonte

6 risposte

125

TLS fornisce tre elementi:

  • Riservatezza: che nessuno può vedere il traffico tra te e facebook.com (incluso il ragazzo al tavolo successivo di Starbucks, il tuo ISP, alcune apparecchiature di rete abbozzate nel datacenter COUGH NSA , nessuno).
  • Integrità: che nessuno sta modificando i messaggi mentre viaggiano tra te e facebook.com (questo è separato dalla Riservatezza perché alcuni tipi di attacchi ti consentono di modificare il messaggio in modo malevolo anche se non lo fai so quali sono i messaggi).
  • Autenticazione: che stai parlando con il server autentico facebook.com , non con una versione contraffatta.

The basic idea what I got from them is, when using https all things are encrypted in client side and then sent it to the server. (Please correct me if I am wrong)

Questo copre le parti di riservatezza e integrità, ma ti manca la parte di autenticazione:

To prove that you're not talking to a spoofed web server.

Dire che ho creato una versione di phishing di Facebook e in qualche modo ho hackerato nel tuo router di casa (facile) o ISP (più difficile) in modo che quando digiti facebook.com si risolva nel mio indirizzo IP invece che in quello reale. Ho creato una copia esatta della schermata di accesso che ti aspetti e inserirai nome utente e password. Muahaha! Ora ho il tuo nome utente e password.

In che modo HTTPS lo impedisce? Risposta: con certificati:

SeapriamoilcertificatonelDevToolsdelmiobrowser>Sicurezza,vedremoquesto:

DigiCertèciòchevienechiamato Autorità di certificazione (CA) pubblicamente attendibile . Di fatto, DigiCert è una delle CA che il tuo browser considera intrinsecamente affidabile poiché il suo "certificato radice" è incorporato nel codice sorgente del tuo browser. Puoi visualizzare l'elenco completo delle CA radice affidabili eseguendo ricerche nelle impostazioni del browser e cercando "Certificati" o "Root attendibili" o qualcosa del genere.

Quindi, il tuo browser si affida a DigiCert e, attraverso questo certificato, DigiCert ha certificato che il server con cui stai parlando è il vero facebook.com (perché ha la chiave privata che corrisponde al certificato). Ottieni il lucchetto verde e sai che tutto va bene.

Solo per divertimento, facciamo un finto facebook.com . Ho aggiunto questa riga al mio file hosts in modo che ogni volta che digito facebook.com verrà reindirizzato sull'indirizzo IP di google.com :

209.85.147.138  facebook.com

Google, cosa fai cercando di rubare la mia password di Facebook ?? Grazie a Dio HTTPS è qui per proteggermi! Il mio browser è super insoddisfatto perché il certificato che è stato presentato (per google.com ) non corrisponde all'URL richiesto ( facebook.com ). Grazie HTTPS!

    
risposta data 24.08.2017 - 06:17
fonte
6

Risposta breve:

HTTPS intende stabilire una connessione sicura tra un sito web registrato e il suo computer utente, così puoi essere sicuro che il sito visitato è davvero ciò che volevi visitare e che i dati non vengono acquisiti / alterati durante il transito.

Long anser:

Se ti ho capito bene, la tua idea di base è che solo un amministratore di rete può monitorare la tua attività, e non c'è nulla di simile a casa. Questo non è il caso.

Qualsiasi individuo, gruppo, azienda (ISP) o stato può vedere e alterare il transito e quindi infettare il tuo computer. Al giorno d'oggi Internet è piuttosto una cyberwarzone, dove le entità citate spesso attaccano persino i loro alleati per rubare informazioni = denaro = potere, controllo del guadagno, minaccia o danno fisico alle persone attraverso l'hacking. Anche gli strumenti di stato sono disponibili per gli individui sul mercato nero. Strumenti / malware persistenti sopravvivono alla modifica del disco rigido, in modo che possano monitorarti / danneggiarti a lungo termine.

Il problema con https è che può essere anche compromesso in molti modi, quindi ti dà un falso senso di sicurezza, che potrebbe essere più pericoloso.

Questo è il motivo per cui è importante utilizzare https, quando possibile, e preoccuparsi anche della sicurezza del sistema. Puoi scaricare estensioni per i browser per indirizzarti automaticamente ai siti HTTPS, quando è possibile.

    
risposta data 24.08.2017 - 09:48
fonte
6

Le altre risposte finora sono buone. Aggiungerò un altro angolo: Internet è una rete di router liberamente collegata; il tuo router wifi domestico è solo uno di questi. In genere, qualsiasi connessione HTTP effettuata su un server Web in un'altra rete richiede un percorso attraverso una dozzina di router per arrivarci. Quel percorso cambia frequentemente a seconda delle condizioni della rete; non puoi prevedere quali router userete. Ognuno di questi router è di proprietà e gestito da una persona o società diversa [1].

Tutte queste persone hanno la possibilità di guardare i tuoi dati mentre passano. Potrebbero farlo su una base di routine, in situazioni non dannose, nel corso della risoluzione quotidiana dei problemi, perché quella rete di router richiede monitoraggio e amministrazione costanti per mantenerla in esecuzione; questo sforzo comprende solo diversi campi di carriera. (Le persone che scelgono questi campi di carriera tendono ad essere piuttosto irremovibili riguardo alla buona sicurezza e tendono a prendere sul serio la loro responsabilità sociale, ma l'unica cosa che li tiene lontani dai dati è la loro coscienza e reputazione.)

Quindi l'attrezzatura, il software e le capacità sono già lì; tutto ciò che un cattivo ragazzo deve fare è cooptare il router o il sistema di monitoraggio di qualcun altro.

Le connessioni HTTPS prendono lo stesso percorso, ma poiché sono crittografate, solo l'amministratore del server Web può vedere il contenuto del testo libero; gli amministratori del router vedranno solo ciò che sembra rumore casuale. (Il server Web potrebbe essere compromesso, ma questo è un problema diverso.)

[1] Giocare con il comando traceroute o tracert ti darà un'idea di come possono essere questi percorsi.

    
risposta data 25.08.2017 - 17:37
fonte
2

Con HTTP, le informazioni fluiscono attraverso questa pipeline tra il tuo computer e il server:

Dasinistraadestra:iltuocomputer,lospazioaereochecircondailtuocomputereilrouterwifi,ilrouter,ilcavoaltuoISPboxlocale,iltuoISPboxlocale,unavastaretedidispositiviefilidicuinonsainullaenonhaalcuncontrollosu,lacasellaISPlocaledelserver,ilcavoalservereilserverstesso.

Ovunquenell'arearossa,leinformazionipossonoesseresnoopateemanomesse.Chiunquecontrolliunadellecasellerossepuòspiareemanomettereleinformazioni.Chiunquepuòrompereunodeitubirossieaccederealleinformazionichevifluisconoattraversoecuriosareomanomettere.

Letueinformazionisonoalsicurosoloall'internodellecaselleedeitubiverdieblu.

ConHTTPS,leinformazionifluisconoattraversoquestapipeline:

Il tuo computer e il server stabiliscono una pipe virtuale che non può essere aperta, ed eseguila attraverso tutti i tubi e le scatole tra loro. Ora le tue informazioni sono al sicuro in ogni punto di transito.

    
risposta data 27.08.2017 - 07:54
fonte
1

Sì, c'è un enorme vantaggio nell'utilizzo di HTTPS su HTTP.

  1. HTTP è non crittografato tramite PKI e, in quanto tale, tutte le informazioni vengono passate tramite testo normale, leggibili da uno sniffer di pacchetti e da ogni dispositivo che passano i pacchetti una volta che escono dal modem.
  2. Con HTTP, non c'è modo per uno di sapere se il proprietario del sito è chi dicono di essere e, in quanto tale, non c'è modo di sapere se sono stati sottoposti a un attacco MITM.
    • Questo è il motivo per cui è consigliabile utilizzare sempre HTTPS se un sito lo offre, poiché questo è l'unico modo in cui un utente può fidarsi del contenuto che viene offerto non è stato manomesso.

Con HTTPS, tutte le informazioni inviate e ricevute vengono crittografate tramite PKI, almeno con una chiave di crittografia a 1024 bit / equivalente e hash SHA256, tuttavia molti siti sono passati a 2048 bit / equivalenti e qualsiasi accesso al sito è più probabile che non utilizzando una chiave di crittografia a 2048 bit / equivalente.

  • Ad esempio, quando si utilizza HTTP, tutte le apparecchiature che passano attraverso questi pacchetti possono leggere esattamente quali informazioni vengono inviate e ricevute (questo include password, numeri di account e di CC, ecc.); tuttavia, se si utilizza HTTPS, tutto ciò che potrebbe essere letto sarebbero le informazioni dell'intestazione.

La tua domanda si presenta molto anche con il router WebUI su LAN, e anche se il traffico non lascia mai la rete locale, dovrebbe comunque essere accessibile tramite HTTPS, altrimenti tutte le password, comprese quelle di root, saranno inviate come testo normale.

  • Non importa se una persona è l'unica su / accede alla rete locale ... se le password / informazioni sensibili devono essere inviate / ricevute, dovrebbe sempre essere accessibile solo da HTTPS, specialmente quando richiede solo un alcuni minuti per generare una CA autofirmata o CA / ICA e utilizzare la CA o ICA per firmare un CSR per il server.
risposta data 28.08.2017 - 23:54
fonte
0

Anche se non ti importa troppo della possibilità che il tuo ISP / governo sia malvagio, ci sono almeno due attacchi facili da eseguire contro la tua connessione di casa in modo che HTTPS sia l'unica cosa che protegge i tuoi dati:

  • Il malvagio attacco gemello dove qualcuno installa un router wifi con lo stesso nome del tuo ma con un segnale più potente, in modo che tu finisca per collegarti a loro invece del tuo router wifi (le tipiche configurazioni Wi-Fi domestiche coinvolgono solo uno -autenticazione via - il portatile dimostra la sua identità con la password, ma il router non deve dimostrare da solo).
  • Dirottando il router, che è spesso facile - il software del router tende ad essere insicuro e non vi è alcun processo di aggiornamento della sicurezza, quindi una volta scoperta una vulnerabilità per la specifica versione del router, il router rimane vulnerabile per sempre. Ci sono vari strumenti già pronti e persino malware automatizzati là fuori che i router di destinazione. Per esempio. questo attacco è successo qualche mese fa.
risposta data 27.08.2017 - 10:18
fonte

Leggi altre domande sui tag