La mancanza di https è sufficiente per interrompere l'invio del modulo?

1

Preambolo: in awe sulla qualità di entrambe le domande e risposte su https / SSL su questo sito. La mia umile domanda di sotto è in contrasto.

Sia sui siti web professionali che su quelli amatoriali ho riscontrato il seguente fenomeno, quando ho provato a contattare, ovvero scrivere a: il proprietario del sito web:

Invece di fornire un semplice indirizzo email [email protected] , verrà offerto un modulo. Di solito questo modulo richiede l'invio di almeno due campi: il tuo indirizzo email e il tuo messaggio. - Personalmente, preferisco di gran lunga una semplice e-mail, in quanto ciò sembra più sicuro e sicuro. Se il modulo stesso è presentato e presentato in https , potrei essere più disposto a inviare dati (veri, non falsi).

Ora mi sono imbattuto in un portale di carriera utilizzato da un certo numero di aziende che si confronta con il richiedente con un modulo in * .aspx e standard http (non https ). Il primo mi mette già a disagio, perché (erroneamente?) Percepisco * .aspx come un vecchio linguaggio Microsoft obsoleto. Quest'ultimo, comunque, è il massimo per me (mancanza di https ).

Questo modulo chiede ai candidati di inviare dati personali e di caricare il loro CV come * .pdf.

La mia valutazione del portale delle carriere: nessun intento malvagio, ma non scalfito per quanto riguarda la sicurezza di Internet e la protezione della privacy dei dati.

La mia domanda:

  • La mancanza di https motivo è sufficiente per interrompere l'invio del modulo?

Corollario:

  • Ritenete che i dati privati inviati tramite detto modulo siano effettivamente "pubblici"? Solo perché qualcuno (con cattive intenzioni) potrebbe avere intercettato l'invio di moduli non criptati, significa già che qualcuno ha ?
posta nutty about natty 11.06.2014 - 09:39
fonte

2 risposte

3

Un primo commento è che l'email è non sicura comunque. Forse "sembra" più sicuro, ma in realtà non lo è. Oggigiorno, molti sistemi di relay di posta tenteranno, opportunisticamente, di attivare alcuni SSL quando la posta salta da un server all'altro. Tuttavia, in caso di mancata definizione del suddetto SSL, gli stessi server si degradano automaticamente in modalità non SSL e inviano l'e-mail come testo in chiaro; una conseguenza è che un utente malintenzionato intento a intercettare le e-mail mentre fluiscono non lo troverà troppo difficile da fare: si tratta semplicemente di inviare il giusto pacchetto falso al punto giusto per fare fallire SSL e forzare le macchine a fallback in modalità non SSL.

Inoltre, quando i server si scambiano email, di solito memorizzano una copia locale su un supporto fisico. Fa parte del protocollo SMTP . Nei vecchi tempi, l'affidabilità delle e-mail era presa sul serio, quindi il protocollo impone che un server ricevente non sia autorizzato a riconoscere la ricezione di una e-mail fino a quando non lo ha commesso su un supporto fisico che resiste a una mancanza di energia (in termini di programmazione, questo significa che l'e-mail è stata scritta su un file e è stata effettuata una chiamata a fsync() per garantire che i dati non siano semplicemente memorizzati nella RAM).

Il risultato finale è un'e-mail contenente "dettagli personali":

  • può essere intercettato e spiato dagli aggressori laburisti (si dice che le agenzie di intelligence lo facciano regolarmente, il che ha senso perché è quello per cui sono pagati - ma probabilmente lo fanno facendo affari con la posta proprietari di sistemi di relay, cioè ISP);
  • lascerà tracce in molti sistemi che non conosci, pronti a essere rivelati dalla malizia o dall'incompetenza di persone che lavorano in organizzazioni di rete che non conosci;

da cui concludiamo che l'invio di detti dettagli su un semplice HTTP potrebbe essere un affare migliore a lungo termine. Almeno, il traffico HTTP passa attraverso i router che non hanno una ragione legittima per archiviare i pacchetti sui dischi rigidi, e in effetti i router onesti non si abbandoneranno a tali perdite.

Ora un punto più importante è che HTTP, HTTPS, email ... sono solo per i dati in transito . Se temi per la privacy dei tuoi dati personali, allora la tua più grande preoccupazione non dovrebbe essere quella operazione di trasferimento. Il vero problema è che tu, per definizione, stai inviando il tuo CV ad alcune agenzie di assunzione che non conosci. Non puoi essere sicuro che lo manterranno in un luogo sicuro e si prenderanno cura di esso. In realtà, dato il livello medio di consapevolezza della sicurezza, è una scommessa piuttosto sicura che il tuo CV sarà messo su un server hackerabile, copiato in più posti, scambiato via e-mail e quindi copiato in più caselle di posta di molte persone, e probabilmente stampato due o tre volte con copie che finiscono in cassonetti totalmente non protetti.

In questo senso, la mancanza di HTTPS non è un buon motivo per interrompere il processo di invio, perché HTTPS non migliorerebbe comunque l'immagine complessiva.

Una strategia più pratica è quella di considerare che i "dettagli personali" che inserisci nel tuo CV non sono, di fatto, dati privati. Questi saranno condivisi con molti (molti) potenziali datori di lavoro comunque; un segreto condiviso con molte persone non è più un segreto. Accettalo e basta rivedi il tuo CV e ciò che inserisci nel modulo in base al fatto che non sarà privato. In ogni caso, le persone che vogliono veramente conoscere il tuo nome, la data di nascita e l'elenco dei diplomi li conoscono già (per esempio, non ha senso nascondere la mia data di nascita, poiché appare in almeno due punti nel < a href="http://www.journal-officiel.gouv.fr/"> Journal Officiel , il luogo di pubblicazione ufficiale per le leggi e i decreti editoriali in Francia). Inoltre, 500 milioni di persone rivelano molto di più sulla loro vita su Facebook, e questo (per il mio sgomento darwiniano) non si è rivelato del tutto dannoso per il loro benessere.

Il meglio che puoi sperare di ottenere è di evitare che i tuoi dati personali vengano raccolti automaticamente da crawler Web senza cervello. Per questo, email, HTTP e HTTPS sono tutti abbastanza buoni e irrilevanti.

    
risposta data 11.06.2014 - 14:33
fonte
0

Quando confronti l'invio del tuo CV attraverso questo modulo con l'invio tramite posta ordinaria (suppongo che questa sia l'alternativa), mi fiderei ancora del modulo più della posta ordinaria.

IMHO, hai ragione a pensare che una tale forma senza https è una cattiva pratica e se la società a cui vuoi inviare il tuo CV è nel settore della sicurezza, ritirerei la mia domanda.

Riguardo alla tua domanda se i tuoi dati sarebbero resi "pubblici" presentandoli, direi di no. Lo stai mandando alla compagnia, non pubblicandolo. È nella resonsabilità dell'azienda mantenere i documenti fuori dal pubblico.

Solo il mio modesto parere ...

    
risposta data 11.06.2014 - 09:57
fonte

Leggi altre domande sui tag