Supponiamo che mi connetto inconsapevolmente a una rete WiFi dannosa e visiti siti web. Per malizioso, intendo che la rete è stata creata allo scopo di rubare i dati.
From what I've read, using https:// is safe. Is this true for networks set up for malicious purposes?
Se fatto bene, https è ancora al sicuro. Tuttavia, se si accetta (attivamente) qualsiasi tipo di certificato non affidabile (autofirmato o firmato da CA sconosciuta) è possibile un attacco man-in-the-middle attivo. Se l'autore dell'attacco possiede una CA radice pubblica o una CA intermedia o è riuscito a emettere certificati specifici è persino possibile montare questo tipo di attacco senza che la vittima debba accettare attivamente i certificati falsificati. Anche se questo è improbabile è stato effettivamente eseguito .
Se ti stai connettendo a un sito che utilizza la pinatura o il pinning del certificato a chiave pubblica (come l'accesso a google.com da Google Chrome) in questo caso sei ancora al sicuro, ma solo per accedere a questi siti specifici.
Se invece l'utente malintenzionato è riuscito a rubare qualche certificato di alto valore o rilasciare tale certificato per i siti non protetti da pinning, è possibile fare del male anche su altri siti, perché siti di alto valore come google-analytics.com , jquery.com etc sono spesso incluso come script in altri siti.
If I visit websites where I'm already logged in, and thus don't enter any passwords, can my credentials to these websites be compromised? What about session hijacking?
Per HTTPS dovresti essere sicuro (vedi sopra). Per HTTP semplice dipende molto dal sito. Alcuni siti non utilizzano solo un cookie di sessione casuale, ma aggiungono anche l'impronta digitale del browser. Questo rende il dirottamento delle sessioni più difficile ma di solito non impossibile. Altri siti invece consentono di modificare la password dell'utente o il ripristino della posta elettronica senza chiedere la vecchia password. In questi casi è possibile un rilevamento permanente dell'account.
MODIFICA per riepilogare i buoni commenti qui: qualsiasi sicurezza crolla quando si utilizza HTTP (o FTP) non crittografato. Da quel momento in poi sslstrip, script o HTML injection etc renderà possibile a un utente malintenzionato di dirottare qualsiasi cosa. Quindi è meglio disabilitare HTTP e FTP, il che potrebbe essere fatto impostando il relativo proxy del protocollo su qualcosa di inesistente.
HTTPS è sicuro, se presti attenzione all'indicatore di sicurezza del browser. Esistono vari modi per reindirizzare i tentativi di connessione HTTPS di diventare semplici HTTP, ed è possibile eseguire un attacco man-in-the-middle con un certificato autofirmato, ma se stai prestando attenzione, il tuo browser ti avviserà di questi .
Sì. Se la connessione viene eseguita su un semplice HTTP, un utente malintenzionato può intercettare i cookie ed eseguire un attacco di furto di sessione. Se le tue credenziali di accesso sono memorizzate nei cookie (qualcosa che fa un numero angosciante di forum quando fai clic su "tienimi connesso"), questi possono anche essere rubati; se il sito web non richiede di reinserire la password per accedere o modificare i dettagli di accesso, un attacco di furto di sessione può ottenere le credenziali in questo modo.