Perché dovrei preoccuparmi se un sito utilizza la crittografia o meno se non sto scambiando alcun dato sensibile? [duplicare]

Il problema che hai a che fare, qui, è che se decidi di non crittografare una connessione, stai facendo delle ipotesi sulla sensibilità dei dati che vanno oltre quella connessione.

Sfortunatamente, è impossibile formulare questa ipotesi perché:

• Potresti non aver compreso appieno tutte le implicazioni dei dati (ad esempio, se Twitter non ha crittografato i dati, potrebbe essere utilizzato dalle agenzie governative per individuare i dissidenti e gli oppositori).
• I dati possono diventare sensibili dopo essere stati trasmessi (ad esempio, rispondere "chi era il tuo insegnante di prima elementare" in una chat web con amici di vecchia scuola potrebbe portare a un compromesso del tuo account iTunes in seguito).

Alla fine, è lo stesso che trattare con i documenti cartacei sensibili: puoi decidere di distruggere ciò che è sensibile, ma tutto quello che serve per sbriciolare quel modello è un singolo errore. È molto più semplice distruggere semplicemente TUTTI i documenti in modo sicuro e non preoccuparti dell'ordinamento.

Dato il costo relativamente basso e l'uso della sicurezza delle connessioni e il fatto che ti difenda da tutti i problemi di cui sopra (principalmente), ha molto più senso criptare tutto ciò che è necessario per selezionare i contenuti "giusti" essere crittografato.

La crittografia non consiste solo nel prevenire l'intercettazione dei dati nella lettura , ma impedisce anche di modificarli.

Capovolgere le immagini su pagine web sottosopra è un scherzo divertente da giocare ai coinquilini, ma una persona malintenzionata potrebbe iniettare annunci, o codice dannoso (Java, Javascript, Flash ecc.) nelle tue pagine web senza che tu te ne accorga.

link

Oltre alle altre buone risposte, aggiungo che HTTPS assicura che quando penso di leggere bbc.com , ho davvero am di leggere il contenuto fornito da bbc.com , non ostile la terza parte che vuole prendermi in giro.

Alcuni siti di notizie presentano ancora fatti. Le persone prendono decisioni basate su quei fatti, decisioni che hanno conseguenze sul mondo reale.

Un motivo in generale che vorrei aggiungere alle risposte di cui sopra è che, anche se non si può fare qualcosa di altamente illegale in un paese occidentale, non si deve presumere che il governo non sia interessato a ciò che leggi. Leggendo quanto segue potresti metterti in lista:

• Classificati, documenti trapelati da informatori che sono tecnicamente illegali
• Un sito di notizie o una rivista in un paese musulmano (se vivi negli Stati Uniti)
• Un sito di notizie o una rivista, ecc. con sede negli Stati Uniti se vivi in Cina o in un Paese musulmano

In generale, sappiamo che molti governi creano profili di persone che visitano determinati siti e potresti voler mantenere privati i tuoi interessi politici. Per il tuo esempio di qualsiasi fonte di notizie, anche solo considerando la Cina da sola e nessuna delle ragioni di cui sopra è una ragione sufficiente.

Modifica: Steve sotto mi ha ricordato, in questa situazione la pagina che visiti è privata, ma non il sito web. Quindi devi esserne consapevole.

Penso che in realtà dipenda dall'entità della definizione di "dati sensibili". Le password e i numeri delle carte di credito sono certamente uno, ma forse cercare informazioni su WebMD su un'eruzione, mentre un'informazione generalmente pubblica, può essere qualcosa di cui sei sensibile e non vuoi che il datore di lavoro o il tuo ISP sappiano (datore di lavoro nonostante i diritti e l'uso di argomenti relativi alle attrezzature di lavoro). O forse seguendo le notizie e le elezioni, e non necessariamente volendo rivelare la tua affiliazione. Le notizie sulle elezioni sono pubbliche, eppure quelle che leggi potrebbero non essere qualcosa che desideri rivelare. Quindi, in generale, l'informazione stessa può essere di dominio pubblico. Chi accede a quali informazioni e cosa può essere profilato riguardo a uno non deve necessariamente essere. È qui che la crittografia può essere utile (e naturalmente altre tecnologie che rendono nuovamente disponibili tali informazioni nonostante ciò - solo dando un argomento strettamente relativo alla crittografia).

Numerosi siti di notizie / siti di giornali forniscono account per funzionalità aggiuntive, abbonamenti, ecc. Forzare tutto il traffico web tramite SSL riduce i rischi assicurandosi che nessuno possa mai accedere a una connessione non crittografata.

In genere è meglio prevenire che curare. Al giorno d'oggi HTTPS non è tanto un sovraccarico come un tempo, quindi perché non criptare tutte le connessioni per essere sicuro?

Alcuni precedenti prima di arrivare alla mia risposta:

Ritrovo i telefoni affascinanti e uno dei telefoni più interessanti che ho incontrato è stato l'STU o Secure Telephony Unit che consisteva essenzialmente in un / dd / a alcuni codec audio un modulo di crittografia digitale e un modem e un circuito di bypass tutto imbustato all'interno di un telefono e per la maggior parte era collegato alle normali linee telefoniche e alla rete telefonica pubblica. Erano molto popolari durante la guerra fredda. Il modo base in cui sono stati utilizzati è il ricevitore, verificare il segnale di linea, effettuare la chiamata, verificare di aver raggiunto il numero giusto, accettare di avviare la modalità protetta, entrambe le parità ruotano la chiave per avviare la modalità protetta, attendere la sincronizzazione della crittografia , avere una conversazione sicura, accettare di terminare la modalità protetta, girare la chiave in modo non sicuro, terminare la chiamata.

Nella mia ricerca sulle STU mi sono imbattuto in un account di alcune spie russe che discutevano di intercettare le chiamate tra le STU. Sebbene questi agenti sul campo non siano stati in grado di apprendere il contenuto della conversazione crittografata, hanno fatto uno sforzo particolare per ascoltare tutte le chiamate su una linea che aveva una STU collegata oltre a registrare la conversazione crittografata per l'analisi, Hanno detto di aver imparato tutti i tipi di cose interessanti e preziose dalla parte non crittografata delle chiamate, un po 'oltre le identità delle parti alla chiamata.

La morale della storia: anche se non pensi che l'informazione sia preziosa, il nemico potrebbe. (indipendentemente da chi pensiamo che sia il nemico)

Perché non sai cosa si può dedurre dai dati che emetti. Dal momento che tutta la confusione della NSA è emersa nelle notizie, molte persone pensano: "sì, giusto, la NSA sa delle e-mail che mando al mio cuginetto e alle mie abitudini di acquisto? E allora?".

Purtroppo siamo entrati nell'era dei BigData e dell'apprendimento automatico. Non si tratta solo di scriccatura di enormi database per ottenere modelli e previsioni. Dal mio punto di vista personale, penso che l'apprendimento automatico rappresenti un enorme passo avanti per le scienze in generale. Rappresenta uno spostamento da analitico a quelli che definirei metodi meta-analitici. "Back in the days", inizi con i dati provenienti da un dominio (ad esempio, dati demografici), analizzali con un framework analitico che corrisponde al dominio e ottieni un risultato nei termini di questo dominio (ad esempio un modello per prevedere la crescita di una certa popolazione).

L'apprendimento automatico funziona al livello superiore: ha un proprio insieme di strumenti e metodi analitici, ma è usato per costruire "cervelli elettronici" che eseguiranno l'analisi vera e propria. La diretta conseguenza di questo è che è più facile associare domini ed eseguire inferenze incrociate tra di loro. Ad esempio, è possibile prevedere dove starai 24 ore da ora sulla base di alcuni dei tuoi Dati di Facebook.

O racconta se una donna è incinta guardando ciò che compra.

Target prevede la gravidanza con i big data

After shopping at Target, the girl began receiving mail at her father’s house advertising baby items: diapers, clothing, cribs and other baby-specific products. Her father was incensed at the company’s attempts to “encourage” pregnancy in teens and complained to the management. A few days later, a shamefaced Dad called the manager to apologize; it appeared his daughter actually was pregnant. This is not an unusual occurrence with today’s computer-assisted data collections on the part of retail stores. Target assigns customers a Guest ID number that is tied to their name, credit card, email address and every other piece of information the store can collect. Using the information on past purchases, Target is able to create a startlingly accurate profile to use in customer-specific advertising.

Naturalmente, sto esagerando con il potere dell'apprendimento automatico (e sottovalutando l'importanza delle conoscenze / esperti specifici del dominio). Tuttavia, le prospettive sono mercantili: l'identificazione di persone gay o oppositori politici da attività apparentemente non correlate potrebbe essere raggiunta da governi o organizzazioni malintenzionati che sembrano plausibili. Potrebbero persino reprimere le rivoluzioni prima che la gente abbia persino la possibilità di protestare per le strade. Ecc ...

Penso che questa sia una questione molto importante per le nostre società moderne, tanto più che non è stata identificata come una delle grandi sfide etiche di questo secolo, a differenza dell'ingegneria genetica umana.

Un punto che spesso viene perso in questa discussione è il fatto che SSL crittografa anche l'URL della pagina che si usa quando si accede a un sito Web.

Se qualcuno stava intercettando la tua connessione, (NSA?) e stavi visitando un sito che non è stato fornito su SSL, qualcuno potrebbe vedere quali pagine accedi e creare un profilo intorno a te in base alle tue abitudini di navigazione.

Se visiti siti con SSL abilitato, non è solo il contenuto della pagina che viene crittografato, ma anche l'effettivo URL della pagina (il percorso sul server) che viene crittografato.

Quindi, se qualcuno sta intercettando, sa solo quali domini visiti. Non possono sapere a quali pagine si accede.

Tutti i punti principali sono stati trattati, ma ho pensato che valesse la pena di coprire questo particolare scenario:

Era / è popolare crittografare una pagina di accesso, quindi consentire all'utente autenticato di continuare a navigare nel sito su una connessione non crittografata (per risparmiare cicli della CPU sul server). In realtà questo uso apparentemente efficiente e parsimonioso della crittografia è praticamente inutile.

Consente a un mitm di acquisire i cookie di sessione e quindi di impersonarti completamente sul sito in questione. Forse permettendogli di cambiare le tue credenziali di accesso o persino di recuperare la tua password in testo semplice.

HA SCRITTO IL THREAD STARTER: Ma cosa succede se sto leggendo un sito di notizie? Ognuno ha accesso a questo, è anche sui giornali. Qual è il punto di crittografia di tali informazioni facilmente accessibili?

LA MIA RISPOSTA: Sì, tutto sul sito di notizie è pubblico; ma ti sentiresti a tuo agio con qualcuno in piedi dietro le tue spalle mentre sei con il tuo computer in un bar, usando la sua connessione WI-FI, ad esempio per vedere quali articoli scegli di leggere? E se il sito di notizie ha comunque un accesso in modo che i lettori possano personalizzare il feed? Non quella parte di ciò che fai lì deve essere crittografato? Tra le due cose, è più semplice per il proprietario del sito criptare tutto.

HA SCRITTO IL THREAD STARTER: molti utenti hanno profili di social network pubblici con i loro interessi elencati in loro, credenze politiche e religiose o che le informazioni possono essere facilmente reperite dai loro blog e siti web personali. Non lo vedono come una minaccia alla loro vita personale, quindi scelgono di non nasconderlo. In che modo la visualizzazione di contenuti pubblici popolari non crittografati può danneggiarli? E in che modo la crittografia di tali pagine protegge la loro privacy?

LA MIA RISPOSTA: alcuni di loro non si preoccupano della loro privacy. Hanno, come dice la psicologa Sherry Turkle, una sorta di mentalità " I share, quindi I ". In ogni caso, come con l'esempio precedente, anche quelli che condividono così liberamente devono accedere a dette pagine per cambiare le cose, no? E il loro modo di fare deve essere crittografato, no? Inoltre, coloro che leggono le loro informazioni possono non volere altri nella caffetteria dove stanno usando il loro laptop per sapere che stanno guardando la pagina dei social network di questi.

Scopri di cosa si tratta " sidejacking ," in cui qualcuno seduto a un altro tavolo con il suo laptop, in un coffee shop dove usi anche il tuo laptop, con entrambi sullo stesso WI-FI LAN, può usare una semplice estensione Mozilla Firefox chiamata "Firesheep" per "vedere" sul suo schermo, tutto quello che stai facendo sul tuo computer al tuo tavolo dall'altra parte della stanza. Oppure lui / lei può usare il suo telefono Android, e una piccola cosa chiamata "DroidSheep" per ottenere lo stesso risultato. E ci sono altri strumenti nefasti.

Le farebbe che tu stia bene con te? Giusto su quando lo capirai, non sarebbe bello se il sito web che stai usando abbia attivato SSL e il tuo accesso a detto sito fosse tramite link invece di mere link ?

Ecco perché le estensioni di Firefox e Chrome come " HTTPS Everywhere " esistono: per passare automaticamente a migliaia di siti da "http" insicuri per proteggere "https", proteggendoti quindi da molte forme di sorveglianza e dirottamento / sidejack dell'account; e in paesi meno liberi degli Stati Uniti, persino alcune forme di censura.

Tutti i siti Web, più, dovrebbero utilizzare SSL per tutto contenuto. Periodo. Dovrebbe essere normativo come quello che dobbiamo indossare per il cheating prima di uscire di casa.

Spero che ti aiuti!