Che cosa fare quando una connessione a un sito web governativo per l'invio di dati personali identificabili non è crittografata?

2

Devo richiedere un nuovo passaporto, ma il sito web ufficiale del mio governo per l'invio di applicazioni contenenti dati personali identificabili non utilizza HTTPS - link

Normalmente, se un sito web non è sicuro e io non ho bisogno di per usarlo, semplicemente non lo userò o troverò un'alternativa che è sicura. In questo caso, però, non riesco a capire: devo richiedere un nuovo passaporto e I non avere un'alternativa perché questo è l'unico sito web del governo. Il modulo contiene estremamente sensibile & informazioni private - praticamente la mia intera storia di vita - e sarebbe una grande perdita se fosse trapelata.

Come ci si avvicina a una situazione del genere dal punto di vista della sicurezza? La petizione al mio governo di aggiornare le loro pratiche di sicurezza è l'unica opzione?

P.S. L'invio in un'applicazione cartacea non è un'opzione, poiché le informazioni devono essere inviate in qualche modo in India e l'appaltatore di elaborazione semplicemente ricaricherà i dati utilizzando lo stesso sito Web non sicuro. Cioè se non hanno rifiutato un'applicazione cartacea in primo luogo.

    
posta jkq 27.03.2016 - 19:04
fonte

2 risposte

7

Utilizza semplicemente la versione https di questo sito che puoi fare semplicemente sostituendo http:// nell'URL con https:// . Funziona e il sito ha anche un certificato valido. E non so come sia arrivato a questo sito, ma se cerco su google per "Online NRI Passport Application", effettivamente ottengo il primo sito https.

    
risposta data 27.03.2016 - 19:59
fonte
2

Bene, i risultati SSLLabs sono estremamente interessanti:

  • TLS 1.2 è l'unica versione sicura supportata, che è eccellente
  • È supportata la suite di crittografia TLS_RSA_WITH_AES_256_GCM_SHA384, che è eccellente
  • È supportata una suite di crittografia RC4, che è orribile

Il mio consiglio è di iniziare con Firefox, aggiungere l'estensione HTTPS Everywhere e, una volta installato, controllare il " Opzione "Blocca tutte le richieste HTTP".

Ciò farà il miglior lavoro di impedire che si verifichino normali richieste HTTP di cui sono a conoscenza; è possibile che alcune parti del sito non funzionino, quindi potrebbe essere necessaria una sessione separata del browser (in un browser diverso) sul sito HTTP per cercare le loro istruzioni. È anche possibile che parti critiche del sito richiedano HTTP, come i server che servono javascript, ma non lo saprai fino a quando non ci proverai.

Per il massimo livello di sicurezza disponibile, in Firefox vai su about: config, filtra su "ssl3" e disabilita tutto tranne il codice GCM.

RC4 dovrebbe già essere disabilitato, quindi questo aiuta almeno

    
risposta data 28.03.2016 - 01:13
fonte

Leggi altre domande sui tag