In particolare quelli che sono, in una certa misura, il risultato di consigli forniti dalle aziende che lo utilizzano, ad es. banche, siti di e-commerce ecc.
Idee sbagliate popolari: se l'icona del lucchetto è presente, il sito è sicuro.
Realtà: Assolutamente no! Nel migliore dei casi, SSL protegge i dati dall'intercettazione mentre è in transito. Non garantisce che l'endpoint sia affidabile. Non c'è alcuna garanzia su ciò che l'endpoint fa ai dati una volta ricevuto. Come scrisse una volta Gene Spafford,
SSL is like using an armored truck to transport rolls of pennies between someone on a park bench and someone doing business from a cardboard box.
Inoltre, ci sono molte situazioni in cui l'icona del lucchetto non garantisce che i dati siano sicuri durante il trasporto: ad es., errore CA, organizzazioni che inseriscono un'immagine di un'icona a forma di lucchetto nella pagina, contenuti misti, widget di terze parti, sslstrip e molti altri.
Idee sbagliate popolari: se il sito sembra legittimo, probabilmente lo è.
Realtà: No. L'aspetto del sito non è un buon indicatore della sua sicurezza. È banale per un phisher copiare l'aspetto del sito su un sito falsificato. Questo è un caso in cui le nostre intuizioni dal mondo fisico ci portano fuori strada: non è facile creare una banca falsa che sembra legittima, con colonne di marmo e tutto, ma è banale creare un sito Web falso che sembra legittimo .
Idee sbagliate popolari: tutto può essere violato.
Realtà: questo potrebbe non essere il modo migliore di pensare alle cose. Porta ad un atteggiamento disfattista che dice, perché preoccuparsi di preoccuparsi della sicurezza, se è sempre destinata a fallire? La realtà è che alcune attività sono molto più sicure di altre e, con un po 'di attenzione, si può ridurre in modo significativo la probabilità di essere esposti a problemi di sicurezza.
Idee sbagliate popolari: l'hacking funziona come nei film. Gli hacker sono dei romantici geni disadattati che possono incidere qualsiasi cosa con pochi minuti di digitazione rapida.
Realtà: In verità, la maggior parte degli attacchi proviene da criminali di varietà da giardino che cercano di fare soldi velocemente rubando, ingannando e frodando le persone. Sono difficilmente super-geni; il prerequisito di lavoro primario è la volontà di rubare, imbrogliare e mentire. Tendono ad essere motivati da considerazioni di natura monetaria: andranno per il modo più rapido e semplice di fare soldi. In alcuni casi, possono essere associati al crimine organizzato. Queste non sono persone da guardare o ammirare.
Idee sbagliate popolari: le reti wireless non sono sicure. I criminali siedono nei cybercafes cercando di hackerare le tue cose. Tuttavia, se non stai usando il wireless, starai bene.
Realtà: mentre alcune reti wireless 802.11, in primo luogo reti WiFi e WEP protette, rappresentano un rischio significativo per la sicurezza, non è poi così male. La maggior parte degli attacchi proviene da qualcuno dall'altra parte del mondo, non da un tizio dall'aspetto schifoso seduto dall'altra parte del bar. Non tutte le reti wireless sono create allo stesso modo. Ad esempio, la tua connessione 3G sul tuo telefono è probabilmente molto più difficile da intercettare o attaccare rispetto a una connessione WiFi aperta. E sei sicuramente a rischio anche se non sei connesso a una rete wireless; solo perché ti stai connettendo su una rete cablata non significa che sei immune agli attacchi.
Questo è uno dei miei pensieri.
Pagina di accesso sulla pagina http che i post sulla pagina https NON sono OK
Molti siti Web (incluso facebook / twitter) visualizzano la pagina di accesso su una pagina http e POST le credenziali di accesso a una pagina https. Questo va bene per quanto riguarda la riservatezza delle tue credenziali, ma solo se hai la certezza che non sei MITM sulla pagina di accesso. Niente lo garantisce.
Le persone citano l'overhead computazionale come una ragione per non fare ssl su ogni pagina. Questa teoria potrebbe richiedere una riconsiderazione dopo i risultati empirici di google show che SSL / TLS non è più costoso dal punto di vista computazionale .
Fondamentalmente tutto ciò che ho intenzione di dire è menzionato in questo articolo: SSL non riguarda la crittografia
Il pubblico non conosce e non ha concetto di "connessione sicura", SSL / TLS, navigazione sicura, crittografia o intercettazione dati. Il pubblico generale non si preoccupa di come funziona la tecnologia, solo quello che può fare per loro. Considera anche l'interfaccia (fx. Pagina web) come unica parte dell'applicazione, senza che vi sia nulla dietro. Non hanno alcun concetto di servizi di back-end.
Il più grande malinteso che il pubblico abbia è che persino un sistema di sicurezza strong può essere facilmente aggirato da un hacker esperto. Mi viene chiesto costantemente se potevo incidere su Gmail, Banca, Governo, polizia, qualunque cosa. Io rispondo semplicemente che guardano troppi film, che in realtà è molto più difficile e richiede un sacco di lavoro dedicato, con possibilità di un hack di successo estremamente basso.
Rilevante anche: link
C'è un equivoco ritenuto, non dal "pubblico generale", ma molte persone più o meno coinvolte nella sicurezza. Dice che: "SSL / TLS è stato interrotto così tante volte, è intrinsecamente debole".
In realtà, SSL / TLS è il protocollo di trasporto più scrutato; ogni volta che un crittografo pensa a un nuovo modo di fare attacchi cifratici scelti o cose del genere, prova a vedere se l'impatto di SSL. Molto più raramente guarderà altri protocolli come SSH. Pertanto, se SSL / TLS è il protocollo riparato , è anche il più robusto perché è stato verificato rispetto a tutti gli attacchi noti.
Inoltre, molti attacchi a SSL sono in realtà attacchi a X.509, il tipo di certificato utilizzato da SSL; e la maggior parte degli attacchi questi non sono intrinseci a X.509, ma a come i gestori di sistemi operativi / browser comuni lo gestiscono (cioè consentono a CA ombreggiato di essere considerati come "ancore fidate"). Molte persone che affermano che il mantra "SSL è rotto" in realtà lo usano come uno slogan per incanalare il loro rifiuto del modello economico utilizzato dalle esistenti Autorità di certificazione, quindi questa è politica e molto lontana dai meriti tecnici ( o meno) del protocollo SSL / TLS stesso.
Leggi altre domande sui tag web-application tls