Login bancario in un paese straniero

Naviga le tue risposte
4

Ho amici e famiglie che viaggiano / vivono in paesi stranieri e reti wireless non protette compromesse e scanner di carte di credito sono sempre stati un problema. Recentemente mi è stata posta una domanda su come accedere a conti bancari personali e altri siti Web sicuri da queste posizioni insicure.

Avevo l'impressione che se si utilizza la propria macchina e ci si connette a un sito che utilizza HTTPS dal momento in cui si colpisce (rispetto a quelli che si usano solo nelle pagine di pagamento o di accesso) si è al sicuro dalla maggior parte " ragionevoli "minacce associate a una rete wireless compromessa. Mi sbaglio?

    
posta BenW301 28.01.2015 - 02:03
fonte

4 risposte

4

Prima di tutto, devi disabilitare SSLv3 nel browser per impedire l'attacco di POODLE ( SSL3 "POODLE "Vulnerabilità )

Quindi, non c'è nessun problema nell'utilizzo di HTTPS anche in aree "non sicure", perché TLS ti protegge dall'attacco Man In The Middle, con la stretta di mano, la crittografia end-to-end e la verifica della catena di certificati.

Un problema comune che potresti riscontrare è lo stripping di SSL: il proxy a cui sei connesso può forzarti a comunicare solo con HTTP, assegnando tutto in chiaro e quindi simulando una connessione HTTPS con il tuo sito di destinazione. L'HSTS può impedire questo attacco downgrade, ma non è molto diffuso e presenta alcune limitazioni con le richieste iniziali.

    
risposta data 28.01.2015 - 10:54
fonte
1

Direi che dovresti dire loro di usare una VPN affidabile.

Sebbene possano pensare di essere al sicuro usando HTTPS, è possibile che un utente malintenzionato configuri un hotspot Wi-Fi canaglia e intercetti le connessioni SSL, rimuovendo la protezione offerta da HTTPS e vedendo i dati in chiaro.

Se usi una VPN che conosci e sei sicuro che nessuno può entrare in una posizione di Man-in-the-Middle, non devi preoccuparti di questo.

    
risposta data 28.01.2015 - 10:59
fonte
1

Per la massima sicurezza, è necessario disabilitare HTTP nel browser quando ci si trova su reti non attendibili. Questo può spesso essere ottenuto impostando un indirizzo proxy non valido per il traffico HTTP (ad esempio 127.0.0.1 ) e lasciando che lo HTTPS si connetta direttamente.

Questo è davvero un problema se uno qualsiasi dei siti che utilizzi è vulnerabile agli attacchi di avvelenamento da cookie. Vedere la mia risposta qui su un esempio in cui esiste una vulnerabilità XSS a causa del riflesso del valore del cookie . Normalmente questo cookie sarebbe sicuro perché è sempre consultabile su HTTPS. Tuttavia, poiché i cookie condividono la stessa origine sui protocolli (ad esempio la Same Same Policy per i cookie è leggermente più rilassata -% i cookie dihttp possono essere letti in https sullo stesso dominio), potrebbero essere avvelenati da un MITM su una rete non sicura per sfruttare la vulnerabilità.

Se disabilitare HTTP è un passo troppo lungo (dato che renderebbe molti siti inaccessibili), usare sempre una VPN sarebbe la strada da percorrere.

Per evitare qualsiasi vulnerabilità CSRF sui siti a cui accedi in una rete non protetta, devi aprire ciascun sito attendibile in una nuova sessione in incognito o privata. Ciò impedirà a qualsiasi altro sito web di falsificare richieste al tuo sito attendibile in quanto il cookie non verrà più passato.

Quanto sopra eviterà anche gli attacchi di POODLE in quanto un attaccante MITM non può "mettersi in mezzo" a causa del fatto che HTTP non è abilitato * e inoltre non lo farà essere in grado di includere i cookie in qualsiasi traffico cross-site poiché la sessione di accesso è nella propria sessione privata con cookie isolati.

Si noti inoltre che è improbabile che il sito Web di una banca contenga vulnerabilità che potrebbero allentare la sicurezza di se stesso su una rete non sicura, i suggerimenti sopra riportati sono davvero utili per renderti più sicuro su altri siti più vulnerabili che potresti sfogliare su reti non fidate che potresti bisogno di accedere.

* Con "get in the middle" intendo che un MITM ora non può intercettare una semplice richiesta HTTP e usarla come piattaforma per iniettare le richieste HTTPS nel sito vulnerabile di POODLE perché il semplice HTTP è ora disabilitato. L'utente malintenzionato dovrebbe invece invogliare l'utente a visitare direttamente il sito HTTPS dell'utente malintenzionato al fine di disporre di una piattaforma disponibile per inviare richieste AJAX di origine incrociata al sito vulnerabile di POODLE.

    
risposta data 29.01.2015 - 16:32
fonte
0

Utilizza il blocco dei certificati. ( Che cos'è il blocco dei certificati? , ad esempio usa il plug-in del browser link )

Quindi puoi essere sicuro al 100% che stai parlando al server di banca senza che nessuno intercetti la tua conversazione (sulla rete), anche se l'utente malintenzionato utilizza una CA radice compromessa. Il presupposto è che la tua banca non cambi il suo certificato troppo spesso (ma le banche non dovrebbero farlo comunque).

    
risposta data 27.02.2015 - 15:54
fonte

Leggi altre domande sui tag

Esiste uno studio su quanti siti web stanno salvando le password come testo normale? [chiuso] È sicuro abilitare il supporto Clientvello SSLv2?