Oltre alle password in puro testo, c'è qualcosa di cui preoccuparsi con i siti che non usano SSL?

1

Ho notato che uno dei siti a cui sto cercando di aderire non utilizza SSL anche durante l'accesso.

Sono curioso di sapere quali implicazioni sulla sicurezza, oltre all'estrazione di password in testo semplice, esistono con questa cattiva pratica? Suppongo che si possa configurare un MITM che intercetta tutte le informazioni di testo normale e potrebbe usarlo contro altri (come ip, informazioni di accesso, ecc.).

Sono curioso di sapere qual è l'approccio raccomandato per l'utilizzo di siti come questo? Stavo pensando una VPN e un nome utente / password casuali per realizzare questo.

Sarebbe meglio non usare nemmeno il sito? Anche se ci sono molti siti là fuori che sono così spaventosi.

EDIT: dovrei menzionarlo quando dico "preoccupazione" intendo nel contesto della creazione di un account, di accesso, navigazione e commenti ai messaggi sul sito. Non intendo nulla che possa causare problemi, ad esempio informazioni sul conto bancario o qualsiasi altra "informazione sensibile" (oltre alle password).

EDIT2: seconda parte di questa domanda per coloro che potrebbero trovarsi in questa situazione. Se uno si è già registrato su un sito che non dispone di SSL, quali passi si dovrebbero intraprendere per eliminare le proprie informazioni dal sito e / o proteggersi?

MODIFICA 3: i problemi con SSL vengono visualizzati solo con SSL al momento dell'accesso oppure il sito deve disporre di SSL completo? Esistono molti siti con SSL solo per l'accesso e, da quanto detto qui, sembra che l'intero sito debba utilizzare SSL.

    
posta XaolingBao 26.12.2016 - 23:16
fonte

3 risposte

2

Il MITM è il problema principale, tutto ciò che è in grado di monitorare le tue trasmissioni può catturare / riprodurre dati e, naturalmente, cambiare dinamicamente i dati - con impunità.

Questa è una pessima pratica per qualsiasi sito e dovresti informarli immediatamente.

Idealmente, non dovresti usare il sito. Se ritieni di doverlo fare, assicurati di non fornire dati che potrebbero essere utilizzati per furto di identità, phishing o attacchi simili.

Ho sempre notato che, in questa età di attacchi informatici, alcuni proprietari di siti e alcuni utenti sembrano ancora sapere che questo è un problema.

Se, come implicito, questo è solo un sito di forum, mi assicurerei comunque di non utilizzare il mio indirizzo email "normale" e certamente non avrei riutilizzato una password. Sappi anche che è possibile (anche se non ammetto che sia probabile) che qualcuno potrebbe facilmente impersonare te se lo volesse.

Non ci sono scuse per questo - anche i siti di hosting economici offrono generalmente un'opzione SSL / TLS condivisa a basso costo, sufficiente a fermare tutti gli aggressori più determinati e intraprendenti.

Per l'aggiornamento 2: rimuovere immediatamente tutti i dati personali identificabili e assicurarsi che non siano registrati dati finanziari. Se hai registrato i dettagli finanziari, segnala immediatamente il sito alla tua banca / carta di credito - è probabile che il sito perda la loro capacità di vendere.

Se hai riutilizzato un indirizzo email, prova a cambiarlo il più rapidamente possibile. Molti servizi di posta consentono [email protected] o altro, ad es. puoi aggiungere un + qualcosa dopo il tuo nome, anche se non tutte le funzioni di registrazione accetteranno un simbolo più (anche se dovrebbero, dato che fa parte della RFC). Se non riesci a farlo, prova a creare un account di posta gratuito (ad es. Gmail, Outlook.com, ecc.) E utilizzalo.

Se hai riutilizzato una password, modifica subito la password riutilizzata su tutti gli altri siti & attivare l'autenticazione a due fattori laddove possibile per contribuire a prevenire il furto di identità.

Se hai condiviso la tua posizione fisica o altri dettagli personali, dovresti solo monitorare la situazione - dopo aver rimosso i dettagli - è molto improbabile che qualcuno sia stato in grado di fare qualsiasi cosa, quindi non farti prendere dal panico, basta essere ragionevole. Inoltre, anche se condividi solo la tua città o contea, prendi nota se hai un nome insolito per la tua località. Magari ripensare alla condivisione in quel caso.

Aggiornamento 3: Avendo SSL nella pagina di input di accesso, le transazioni di accesso e qualsiasi pagina di profilo utente è il minimo assoluto per un sito che ha un accesso. È necessario averlo anche su tutte le transazioni sicure e questo include qualsiasi interazione di sessione. È fin troppo facile fare un errore di configurazione. Inoltre, è facile finire con altre pagine nel tempo che dovrebbero essere protette. Vi sono anche alcuni standard che richiedono che tutte le interazioni siano superiori a TLS. In questo modo puoi vedere che è di gran lunga la procedura migliore per rendere semplicemente tutto ciò che è protetto da TLS e averlo fatto.

    
risposta data 26.12.2016 - 23:25
fonte
1

Iniezione malware

Un rischio separato di canali non protetti (come http) è che un utente malintenzionato può modificare i dati che ricevi da una fonte di cui ti fidi.

Senza https, una terza parte può fare qualsiasi cosa che il proprietario legittimo del sito web potrebbe fare per te, ma ragionevolmente non lo farebbe (almeno non intenzionalmente). Possono modificare qualsiasi eseguibile scaricato per includere malware. Possono immettere codice nella pagina Web che sfrutta una vulnerabilità nel browser, ad esempio la copia di un sito Web di notizie popolare html potrebbe contenere un collegamento a un altro oggetto Adobe Flash con un exploit e un carico utile scelto come target.

    
risposta data 27.12.2016 - 18:00
fonte
0

Accanto alle password (e ad altre informazioni sui messaggi di posta come le carte di credito), cosa preoccuparsi per un sito web senza https?

Dal punto di vista del proprietario del sito web

  • Gli annunci possono essere inseriti nelle pagine web

  • Se vengono gestite informazioni personali, potrebbe essere illegale: nella maggior parte dei paesi, esiste un obbligo di protezione per tali dati ( Leggi sulla protezione dei dati )

Dal punto di vista dei visitatori

  • Non puoi inserire alcuna informazione personale senza essere sicuro che non verrà intercettata e archiviata da terzi malintenzionati.

  • Dovresti presumere che qualsiasi url che visiti verrà registrata e collegata al tuo indirizzo IP. Se inserisci un'e-mail in qualsiasi momento (anche in un altro sito Web http), dovresti assumere che tutta la cronologia di navigazione possa essere collegata a te.

risposta data 27.12.2016 - 16:44
fonte

Leggi altre domande sui tag