Qualcuno può scansionare un sito web da un indirizzo remoto e rubare informazioni di accesso agli utenti?

Non possono snoopare il tuo traffico a meno che non si trovino in una posizione di adiacenza a qualsiasi sistema nella catena di routing.

Quando un client si connette per la prima volta a un server, il pacchetto passerà dal suo computer al loro router, che poi lo passerà al server di routing locale dell'ISP, che poi lo trasferirà su una dorsale (attraverso un set di altri grandi router ) e infine al router locale dell'ISP del server, attraverso l'infrastruttura di rete del data center e infine il server attuale. In totale ci possono essere oltre 40 router coinvolti, se si esegue il routing in tutto il mondo. Se uno qualsiasi di questi è compromesso, un utente malintenzionato potrebbe rilevare il traffico.

Tuttavia, gli scenari di rischio primari sono:

1. Il computer dell'utente è compromesso.
2. La rete dell'utente è compromessa.
3. La rete del server è compromessa.
4. Il server è compromesso

Nello scenario # 1, non puoi fare nulla per prevenire il problema. Il loro sistema è compromesso e le loro credenziali possono essere rubate. Puoi aiutare a mitigare il problema chiedendo 3 caratteri di una parola segreta ogni volta che effettuano l'accesso, ma un malware decente potrebbe semplicemente rubare l'ID di sessione o qualcosa di simile.

Nello scenario 2, un utente malintenzionato può mettere la sua scheda di rete in modalità promiscua , che consente loro di fiutare il traffico sulla rete. Se non si utilizza SSL, questo traffico può essere letto, manomesso, ecc. Proteggere gli utenti da questo scenario è la ragione principale per l'utilizzo di SSL.

Nello scenario 3, si verifica un problema simile, ma si trova sulla rete del server. I requisiti per un attacco riuscito qui sono in gran parte basati sul layout e sulla configurazione della rete, poiché la posizione del sistema compromesso sulla rete è critica in termini di successo dell'attacco. Un passaggio tra il loro sistema e il tuo potrebbe impedire lo sniffing promiscuo. È piuttosto difficile sapere se questo tipo di attacco sta accadendo o meno (non è la tua rete, è la società di hosting) quindi SSL è una buona protezione qui.

Nello scenario # 4, sei di nuovo fregato. Il tuo server è compromesso e nessuna sicurezza di trasporto ti salverà.

Esiste un quinto scenario, in base al quale un ISP o un provider backbone (ad esempio Level3) sta attivamente registrando e sniffando il traffico sulla rete. Se ti interessa, SSL può aiutarti. Se sei preoccupato per gli attori statali (ad esempio la NSA, con PRISM), allora SSL non ti aiuterà, poiché possono utilizzare i warrant per ottenere la chiave privata del server e decifrare tutto il traffico.

Il caso più ovvio è questo: il tuo utente sta usando il suo telefono cellulare (o un laptop) in Starbucks o qualsiasi altro WiFi pubblico per accedere al tuo sito. Tutti gli altri nella stessa rete pubblica WiFi possono ascoltare l'utente che si connette al tuo sito web e annusare il traffico e quindi acquisire le credenziali di accesso. Se non sei un sito popolare, probabilmente nessuno si preoccuperà di rubare questi accessi inutili. Se il tuo sito è Facebook o anche solo un forum popolare, le persone si preoccuperanno e venderanno questi accessi. Ci sono molti luoghi pubblici in cui tutto il traffico viene catturato in ogni momento, scansionato automaticamente per i login e le credenziali di accesso trovate nei forum sotterranei. Quindi sì, se hai un sito pubblico che utilizza gli accessi, usa SSL.