È in corso la ricerca di siti http non sicuri?

1

Quindi, per esempio questo sito, security.stackexchange.com, quando guardo nel mio browser non dice che usa https e dice che la mia connessione non è crittografata. Lo stesso vale per, per esempio, twitch.tv.

Quando si accede a questo sito, security.stackexchange, si dice che utilizza https, ma quando sto navigando nel sito si dice che non usa https. È sicuro? Se lo è, come? Non sono le intestazioni e i cookie (come l'ID di sessione) e tutti i dati nelle mie richieste non crittografati e vulnerabili agli autori di attacchi ogni volta che richiedo una nuova pagina?

    
posta Mattias 26.04.2015 - 00:33
fonte

3 risposte

2

Penso che dovremmo mantenere le cose in prospettiva qui. Stai visitando un sito di notizie su HTTP non protetto o un problema di sicurezza?

Visitare un sito su HTTP va bene finché le informazioni sensibili non vengono trasmesse su HTTP.

Il visitare questo sito su HTTP è un problema? Può essere! Se sei autenticato (connesso), il cookie di sessione viene trasmesso in ogni richiesta. Questo potrebbe essere un problema nelle aree pubbliche.

È meno probabile quando lo fai da casa. Raccomando di utilizzare una connessione VPN nelle aree pubbliche.

Inoltre, potresti utilizzare un'estensione per il tuo browser per utilizzare HTTPS anziché HTTP, si chiama HTTPS Ovunque .

    
risposta data 26.04.2015 - 07:59
fonte
1

Sì, non è sicuro. Inviate le vostre richieste e tutti i dati in testo semplice. Non sono sicuro dei cookie, ma altri dati non sono sicuri. Se qualcuno ti crea un MITM (Man In The Middle), può vedere ciò che tu mandi e ciò che ricevi. Inoltre, il tuo ISP (Internet Service Provider) può vedere i tuoi dati inviati ad un sito Web http.

    
risposta data 26.04.2015 - 02:45
fonte
0

Oltre alle risposte di cui sopra, se vuoi vedere tu stesso cosa può essere rivelato a un utente malintenzionato se riesce a intercettare il traffico HTTP:

Usa Wireshark per acquisire dall'interfaccia utilizzata dalla tua connessione, seleziona "http" come filer e inizia a catturare. Quindi browser i siti HTTP dal tuo browser. Sarai in grado di vedere in tempo reale a Wireshark quale tipo di informazioni ha accesso a un utente malintenzionato, data la situazione di cui sopra.

    
risposta data 27.04.2015 - 10:32
fonte

Leggi altre domande sui tag