Creazione di account su siti senza sicurezza?

3

Sono un po 'confuso riguardo alla sicurezza su alcuni siti. Qui su stackexchange.com , ad esempio, sembra non avere alcuna sicurezza, ma quando accedi o crei un account, utilizza keyexchange e una connessione crittografata. Tuttavia, nel sito magicworld.se ho notato che non usano affatto la crittografia. Questo significa che un hacker può trovare facilmente la mia password? Non implicherebbe che, se avessi usato la stessa password su un altro sito Web con sicurezza, un hacker potrebbe accedere al mio account lì?

    
posta G H Hardy 29.03.2016 - 15:11
fonte

1 risposta

3

Tecnicamente, non hanno "nessuna sicurezza" - mancano semplicemente di crittografia per le connessioni. È del tutto possibile che una volta che i dati raggiungono il server, questo viene archiviato nei campi della password hash di bcrypt, con protezione completa contro XSS, CSRF e qualsiasi altro attacco a cui puoi pensare.

Una mancanza di connessione HTTPS significa semplicemente che la connessione tra il browser e il server non è crittografata - come dice @Blub, questo potrebbe consentire a qualcuno con accesso di intercettare o monitorare il tuo traffico di rubare la tua password, o di cambiare cosa vedi (intercettando il traffico dal server al tuo browser). Questo non è l'ideale, soprattutto oggigiorno, ma per alcuni sistemi è stato considerato un rischio accettabile - ci sono probabilmente usi limitati per l'intercettazione di siti che non dispongono di aree di accesso, ad esempio.

Per i siti con pagine di accesso, tuttavia, è considerato un rischio più grave, dal momento che può essere banale intercettare alcuni tipi di traffico, specialmente quando si utilizzano punti wifi aperti.

Per i siti StackExchange, dovresti essere in grado di accedervi tramite HTTPS aggiungendo la stringa di protocollo https: // all'inizio dell'URL - questo non è predefinito a causa di vari problemi con i sottodomini (siti Meta).

E, sì, se si utilizza la stessa password su più siti, un hacker che acquisisce le proprie credenziali consentirebbe l'accesso a tutti loro. Non usare la stessa password ovunque!

    
risposta data 29.03.2016 - 18:13
fonte

Leggi altre domande sui tag