Il MITM è il problema principale, tutto ciò che è in grado di monitorare le tue trasmissioni può catturare / riprodurre dati e, naturalmente, cambiare dinamicamente i dati - con impunità.
Questa è una pessima pratica per qualsiasi sito e dovresti informarli immediatamente.
Idealmente, non dovresti usare il sito. Se ritieni di doverlo fare, assicurati di non fornire dati che potrebbero essere utilizzati per furto di identità, phishing o attacchi simili.
Ho sempre notato che, in questa età di attacchi informatici, alcuni proprietari di siti e alcuni utenti sembrano ancora sapere che questo è un problema.
Se, come implicito, questo è solo un sito di forum, mi assicurerei comunque di non utilizzare il mio indirizzo email "normale" e certamente non avrei riutilizzato una password. Sappi anche che è possibile (anche se non ammetto che sia probabile) che qualcuno potrebbe facilmente impersonare te se lo volesse.
Non ci sono scuse per questo - anche i siti di hosting economici offrono generalmente un'opzione SSL / TLS condivisa a basso costo, sufficiente a fermare tutti gli aggressori più determinati e intraprendenti.
Per l'aggiornamento 2: rimuovere immediatamente tutti i dati personali identificabili e assicurarsi che non siano registrati dati finanziari. Se hai registrato i dettagli finanziari, segnala immediatamente il sito alla tua banca / carta di credito - è probabile che il sito perda la loro capacità di vendere.
Se hai riutilizzato un indirizzo email, prova a cambiarlo il più rapidamente possibile. Molti servizi di posta consentono [email protected] o altro, ad es. puoi aggiungere un + qualcosa dopo il tuo nome, anche se non tutte le funzioni di registrazione accetteranno un simbolo più (anche se dovrebbero, dato che fa parte della RFC). Se non riesci a farlo, prova a creare un account di posta gratuito (ad es. Gmail, Outlook.com, ecc.) E utilizzalo.
Se hai riutilizzato una password, modifica subito la password riutilizzata su tutti gli altri siti & attivare l'autenticazione a due fattori laddove possibile per contribuire a prevenire il furto di identità.
Se hai condiviso la tua posizione fisica o altri dettagli personali, dovresti solo monitorare la situazione - dopo aver rimosso i dettagli - è molto improbabile che qualcuno sia stato in grado di fare qualsiasi cosa, quindi non farti prendere dal panico, basta essere ragionevole. Inoltre, anche se condividi solo la tua città o contea, prendi nota se hai un nome insolito per la tua località. Magari ripensare alla condivisione in quel caso.
Aggiornamento 3: Avendo SSL nella pagina di input di accesso, le transazioni di accesso e qualsiasi pagina di profilo utente è il minimo assoluto per un sito che ha un accesso. È necessario averlo anche su tutte le transazioni sicure e questo include qualsiasi interazione di sessione. È fin troppo facile fare un errore di configurazione. Inoltre, è facile finire con altre pagine nel tempo che dovrebbero essere protette. Vi sono anche alcuni standard che richiedono che tutte le interazioni siano superiori a TLS. In questo modo puoi vedere che è di gran lunga la procedura migliore per rendere semplicemente tutto ciò che è protetto da TLS e averlo fatto.