Il Wifi (anche con password) viene solitamente impostato come equivalente di sicurezza a una rete cablata aperta (collegarlo alla rete, si presume che ci si debba trovare sopra).
Tutte le comunicazioni di qualsiasi parte sulla rete sono completamente visibili. La sicurezza può essere applicata sulla parte superiore della comunicazione non protetta, ma una rete cablata aperta non ha praticamente nessuna sicurezza integrata (oltre alla possibilità di connettersi fisicamente ai fili).
Alcuni switch per pacchetti di reti cablate, dove vengono inviati solo i pacchetti che si suppone di vedere. Le reti Wifi non sono così sicure, sono sicure solo quanto le reti cablate che inviano ogni pacchetto a tutti (il che non è molto).
Gli altri utenti su tale rete possono visualizzare facilmente e modificare con una certa difficoltà i dati trasferiti su protocolli non crittografati.
Ora, sopra il livello di rete, puoi avere un livello sicuro; con buoni protocolli, l'insicurezza del livello di rete non ha importanza (tanto - il livello di rete potrebbe ancora negare il servizio).
La comunicazione su un protocollo sicuro rimarrà quindi privata.
Tuttavia, le ricerche DNS non sono così private. DNSsec fornisce l'autenticazione dell'origine dei dati DNS, ma non la riservatezza. Quindi, anche su https, qualcuno sulla tua rete cablata aperta (o wifi senza fili equivalente) può dire quali siti web stai visitando. Con https, non vedranno ciò che stai guardando, ma sapranno quali siti web.
Esistono protocolli sicuri simili per e-mail e altri servizi; spesso, il luogo a cui ti connetti è pubblico, ma ciò che comunichi è privato.
Se installi qualcosa come Tor, o usi una VPN sicura, puoi rendere la mancanza di privacy sul tuo wifi non importante.
Non conosco lo stato di sicurezza dei messaggi di Facebook. Ma, presumendo che gli ingegneri siano competenti (la crittografia / sicurezza è difficile, quindi non garantita), probabilmente è approssimativamente sicuro come https, in cui il fatto che stai usando i messaggi di Facebook è pubblico, ma a chi e a chi stai inviando non è .
In cima a quanto sopra, se hanno accesso al wifi, potrebbero provare alcuni attacchi man-in-the-middle; cose come il degrado del protocollo in un protocollo più semplice da interrompere. Questo è relativamente avanzato, può essere mitigato aggiornando il client (il tuo browser web) o il server (per rifiutare di fornire connessioni protette non sicure), e non è quasi passivo come quello che può essere raccolto su connessioni non sicure.
Il modo più semplice per mitigare questo è impostare un guest wifi. Con una configurazione povera potrebbero essere in grado di fare qualche danno, ma il livello di sofisticatezza va da "relativamente facile" (la maggior parte di quelli precedenti) a "sarebbe più facile per loro hackerare il router".
Esistono reti wifi che forniscono livelli di sicurezza "a commutazione di pacchetto" (o migliori) (come WPA2 Enterprise). Probabilmente non ne stai usando uno.