L'invio di indirizzo, indirizzo e-mail, ecc. non criptato su Internet, come fa il Regno Unito, è una cattiva pratica di sicurezza?

4

Quindi uso la rete Three nel Regno Unito per accedere a Internet sul mio telefono. Recentemente, ho notato andando su mobile.three.co.uk per accedere a servizi che includono anche informazioni sul mio indirizzo e-mail, indirizzo di casa, il mio PIN per accedere alle impostazioni di sicurezza, ecc. (Es. Le mie informazioni personali e di sicurezza), che il sito web non era crittografato! Ciò significava che tutte le mie informazioni personali e il numero PIN sensibile e altre informazioni sulla sicurezza venivano trasmesse su Internet in chiaro, il che è molto, molto brutto per la sicurezza!

Sto reagendo in modo eccessivo o in realtà non è una buona pratica di sicurezza?

Puoi vedere gli screenshot che ho scattato:

link

link

Ora, su quella pagina nella figura sopra, devo inserire un PIN di accesso, dopo di che posso accedere alle pagine che mostrano il mio indirizzo di casa, indirizzo e-mail, impostazioni internazionali, domande di sicurezza, ecc. - ma anche questa pagina usa HTTP non HTTPS! (Tuttavia, qualsiasi pagina relativa a elementi finanziari come i dettagli di addebito diretto è crittografata e viene visualizzata come HTTPS, ma sicuramente anche le pagine con informazioni personali dovrebbero essere crittografate?)

    
posta Julian Jesus 08.06.2017 - 22:52
fonte

2 risposte

3

La risposta di @Guille è assolutamente corretta, tuttavia c'è un aspetto che potrebbe non essere preso in considerazione e specifico per le reti mobili.

Gli screenshot pubblicati mostrano che sei connesso a Three tramite 4G che è crittografato e probabilmente non uscirà mai su Internet e viene gestito direttamente da Three tramite una rete interna (il 4G è considerato crittografia sicura per quanto ne so a questo punto) quindi il traffico non sarà criptato in transito nelle reti interne di Three. Questo scenario sarebbe molto simile al modo in cui molte aziende trasferiscono tutti questi dati tramite HTTP e crittografano solo quando lasciano le loro reti, ad esempio, per caricare i bilanciatori o i proxy inversi. In questo caso non esce mai dalla rete "fidata".

Un modo per testare questo è attivare il WiFi e controllare che questo sia ancora gestito allo stesso modo.

Sarei certamente d'accordo sul fatto che HTTPS sarebbe la migliore pratica, ma potrebbe non essere così male come inizialmente appare.

    
risposta data 24.08.2017 - 16:50
fonte
2

Non è una buona pratica, di sicuro.

Come suggerito, potrebbero utilizzare HTTPS per inviare il modulo, ma il sovraccarico dell'utilizzo di HTTPS per tutto il sito è minimo al giorno d'oggi, quindi sembra improbabile. Inoltre, non utilizzando HTTPS nel sito Web principale per accedere a chiunque disponga di funzionalità MiM, è possibile sapere che ci si trova su quel sito Web (potrebbe non essere in grado di ottenere le credenziali se si utilizza HTTPS).

Quindi, in breve, non è buono, cattiva pratica e insicuro, oltre a diminuire la privacy.

    
risposta data 25.07.2017 - 00:39
fonte

Leggi altre domande sui tag