Sì, questo è un buon approccio pragmatico che dovrebbe fornire un livello ragionevole di sicurezza contro molte minacce che potrebbe incontrare. Non è perfetto (ad esempio, non impedisce ai siti da cui visita di includere risorse esterne su HTTP), ma probabilmente è abbastanza buono per la maggior parte degli scopi, tra cui, ad esempio, l'online banking.
Se usa Firefox, se riesce a fare in modo che la copia di Firefox sul suo CD Linux avviabile abbia l'estensione HTTPS Everywhere installata, questa sarebbe una bella aggiunta. HTTPS Everywhere ha lo scopo di aiutarti a indirizzarti alla versione HTTPS di siti popolari accessibili tramite HTTPS. Ma questo potrebbe non essere necessario, a seconda delle sue abitudini. Ad esempio, se visualizza solo uno o due siti Web e fa attenzione a digitare sempre "https" nella barra degli indirizzi, potrebbe non essere necessario HTTPS ovunque.
Se ha anche bisogno di proteggere la sua privacy o l'anonimato, potrebbe prendere in considerazione l'utilizzo del Live CD di Tor, che viene fornito in bund per l'anonimato.
P.S. Vedi anche la domanda su Secure Linux Desktop .
WPA2-Personal se utilizzato con password deboli è vulnerabile agli attacchi di forza bruta. L'utilizzo di una password casuale di lunghezza sufficiente o l'uso di una passphrase molto lunga fornisce una certa protezione contro questi tipi di attacchi. Inoltre, la revisione periodica dei log del router WiFi aiuta a rilevare l'uso dannoso.
Mantieni un record scritto o stampato la pagina dell'impronta digitale dei certificati SSL che utilizzi per sessioni di alto valore. Limita questo a pochissimi siti e controlla l'impronta digitale SSL prima di eseguire qualsiasi azione critica.
Per le operazioni bancarie e la protezione delle transazioni finanziarie, limitare le transazioni di un determinato importo solo alle filiali. Ciò limiterà la responsabilità delle singole transazioni. Un'altra precauzione utile è chiedere alla banca di chiamare il numero di casa / cellulare per verificare le transazioni su un determinato importo. Concordo con il suggerimento di @gowenfawr di limitare le capacità online alla visualizzazione dei saldi dei conti e di non consentire l'avvio dei trasferimenti dalle sessioni online.
@ La risposta di DW è buona. Ha accennato al fatto che esiste la possibilità che i siti ti reindirizzino a HTTPS, e se l'utente digita l'URL HTTP direttamente per sbaglio (sono di default, dopotutto), finirà con richieste non crittografate. HTTPS Everywhere, come sottolinea DW, è di grande aiuto, ma non è perfetto.
Un altro modo per affrontare il problema (a seconda delle esigenze del tuo amico) potrebbe essere quello di ottenere un VPS da qualche parte per, diciamo, $ 20 al mese e per eseguire OpenVPN su quel server (con split tunneling disabilitato, ovviamente), e per NAT tutto il traffico di navigazione attraverso quel server. Ciò dovrebbe fornire un certo grado di sicurezza per quanto riguarda la risoluzione del DNS e la privacy dallo spionaggio degli altri nel percorso del pacchetto tra il computer e il VPS OpenVPN.
L'interrogante non ha detto se la resistenza allo sniffer è stata una delle maggiori preoccupazioni, quindi questo potrebbe essere completamente fuori luogo, ma questa configurazione ha funzionato bene per me in passato.
È più difficile rimanere aggiornati con le patch di sicurezza all'avvio da CD.
L'utilizzo di un sistema di sola lettura protegge in effetti da numerosi attacchi ed è particolarmente adatto per le distribuzioni di server che utilizzano una base software relativamente piccola che non ottiene molti aggiornamenti di sicurezza.
Ma quando viene richiamato l'intero X11 e lo stack del desktop e del browser, la frequenza degli aggiornamenti di sicurezza aumenta e l'overhead di dover masterizzare un CD ogni volta che viene visualizzato un aggiornamento può sfuggire. Molti siti bancari si basano anche su flash.
Potrebbe essere più facile eseguire l'avvio da una chiavetta USB con un interruttore di sola lettura fisico o altri supporti più facili da mantenere aggiornati.
Il sistema operativo Chrome di Google e il relativo sistema operativo Chromium sono relativamente nuovi, ma potrebbero essere una buona alternativa se disponi di un hardware adatto. Sull'hardware supportato si avvale della protezione del TPM per verificare più convenientemente l'integrità di avvio e ha un certo numero di altre funzioni di protezione avanzata.
Vedi ad es.
Nota comunque che ci sono ancora dei rischi, e il progetto è ancora giovane. Per esempio. la conferenza Blackhat del 2011 ha avuto una presentazione su come i bug di estensione e XSS possono ancora portare a brutte violazioni della sicurezza:
Leggi altre domande sui tag client-side