Se vado al link , non vengo reindirizzato a link . Se non ha https nell'URL, il login può essere sicuro? Di solito vengo reindirizzato a una pagina https su altri siti? In che modo Facebook gestisce il suo accesso?
No, non è sicuro inserire il nome utente e la password su link : //facebook.com.
L'obiettivo del modulo di accesso punta a un URL https, quindi un utente malintenzionato passivo non può leggere la tua password:
<form method="POST" action="https://www.facebook.com/login.php?login_attempt=1"
Ma un utente malintenzionato, che può modificare il flusso di dati, può manipolare il codice html che contiene il modulo di accesso. Può modificare l'URL di destinazione o aggiungere del codice javascript che invia una copia del nome utente e della password al proprio server.
Inoltre, dopo l'accesso, Facebook invia il cookie di sessione tramite una connessione http. Ciò consente anche a un attaccante passivo di agire nel tuo nome. Questo non è un attacco teorico, c'è uno strumento chiamato Firesheep che è estremamente facile da usare.
Per prevenire il primo rischio, usa sempre link : //facebook.com per accedere. C'è un'estensione per il browser chiamata link che fa questo per te e rimane anche in https che impedisce anche gli attacchi in stile Firesheep.
Solo il log-in tramite link è sicuro - e NON link che in questo momento non reindirizza automaticamente al sito sicuro.
Poiché la destinazione del modulo di accesso è un URL https, come indicato dal codice sorgente, i dati del modulo non possono essere letti tramite attacco passivo, e in questo senso è sicuro. Ma un attacco attivo tramite modifica del flusso di dati, che potrebbe consentire l'immissione da parte di hacker di codice dannoso per rubare nome utente e password immessi, potrebbe facilmente essere fatto.
I dati successivi nel cookie di sessione vengono inoltre inviati tramite una connessione http, che consente agli aggressori passivi di agire nel proprio nome anche senza aver rubato i dati di accesso dal modulo sulla prima pagina. L'estensione proof-of-concept Firesheep, scritta dallo sviluppatore Eric Butler per Firefox, dimostra come ciò sia possibile. Lifehacker ha scritto di più sul bisogno di crittografia SSL in questo senso.
Per scoraggiare tali attacchi, in Facebook, si può semplicemente modificare le impostazioni dell'account, selezionare Sicurezza account e spuntare la casella per abilitare HTTPS, sotto l'intestazione Navigazione sicura. Con questa opzione, alcune pagine - in particolare, alcune applicazioni di Facebook che non sono ancora abilitate a HTTPS - potrebbero non funzionare correttamente; tuttavia, il sacrificio di quella funzionalità persa potrebbe essere fatto per ragioni di sicurezza dell'account.
Inoltre, sono disponibili estensioni per browser Web per abilitare automaticamente la crittografia HTTPS, quando possibile, non solo per Facebook, ma per tutti i siti Web. Electronic Frontier Foundation (EFF) e Tor Project hanno realizzato un'estensione chiamata HTTPS Everywhere disponibile per Firefox e Google Chrome . Altre estensioni simili potrebbero essere disponibili per il tuo browser di scelta.
Se vai al link effettuerai l'accesso utilizzando SSL. Sì, sarebbe bello se Facebook reindirizzasse, ma non ancora.
Puoi farlo da solo andando direttamente alla versione https della pagina, oppure usa HTTPSEverywhere che ti aiuterà spingendoti alla pagina https per molti siti comuni, incluso facebook.
Leggi altre domande sui tag authentication web-application tls appsec