Cose negative riguardo la mancata crittografia SSL? [duplicare]

5

Quindi stavo leggendo alcuni commenti su un forum popolare sulla crittografia SSL e su come alcuni siti web passano i loro dati di login come testo in chiaro e non usano SSL o TLS. Comprendo che l'utilizzo di un metodo di crittografia consente ai dati di passare al server in modo sicuro e impedisce a terzi di intercettazione e quindi di decifrare sul lato server.

Ma diciamo che non c'è una terza parte che annusa i pacchetti - ci sono dei vantaggi nell'usare SSL in quel caso? O è l'unico scopo di SSL crittografare i pacchetti per fermare gli sniffer?

Grazie in anticipo.

    
posta BubbleMonster 02.05.2014 - 18:59
fonte

3 risposte

6

Bene, SSL / TLS o la crittografia in generale riguardano molto la protezione dei dati sensibili o l'autenticità di questi dati. Se non si dispone di dati sensibili da proteggere perché si tratta comunque di informazioni pubbliche, non è necessaria alcuna crittografia.

La crittografia aggiunge uno strato di ulteriore complessità e ha un impatto potenzialmente negativo sulle prestazioni. Quindi, se non ne hai bisogno, non dovresti usarlo - è molto semplice.

Modifica: su internet esiste sempre potenzialmente una terza parte che sniffa, per concetto.

    
risposta data 02.05.2014 - 19:08
fonte
16

Bene, sì, se vivi nel Care Bears Wonderland allora non può succedere niente di male. Sfortunatamente, in quello che è colloquialmente e pomposamente conosciuto come il Mondo Reale ™, ci sono persone cattive. Malfattori. Individui malvagi che amano spiare e origliare e alterare i bei pacchetti di dati.

SSL (ora noto come TLS ) applica la crittografia per impedire spionaggio, controlli di integrità per rilevare in modo affidabile le alterazioni e autenticazione per prevenire la rappresentazione. La parte di crittografia è solo contro lo spionaggio.

Se tutti i tuoi dati sono pubblici, non hai realmente bisogno di crittografia, ma puoi comunque desiderare le altre caratteristiche di SSL, in modo che gli utenti sappiano che si connettono al sito originale e che le pagine e i documenti ottenere dal sito non sono stati alterati in transito.

    
risposta data 02.05.2014 - 19:11
fonte
6

SSL ha due parti importanti:

  • La crittografia, in modo che nessuno possa annusare o, peggio ancora, modificare i dati in transito.
  • L'autenticazione, ad es. il client può essere sicuro di chi sta parlando (e talvolta anche il server richiede l'autenticazione dal client). Se c'è, ad esempio, un attacco di spoofing del DNS, il client può rilevare se sta parlando al server sbagliato.

La crittografia senza autenticazione è inutile, perché in questo caso non è possibile rilevare un man-in-the-middle (ad esempio, nessuna crittografia end-to-end ma crittografia end-to-mallory e mallory-to-end). L'autenticazione senza crittografia può avere senso, ma di solito non viene utilizzata.

    
risposta data 02.05.2014 - 20:09
fonte

Leggi altre domande sui tag