Come diceva Julian, la mancanza di HTTPS consente attacchi man-in-the-middle. Ha anche menzionato spoofing dei punti di accesso , che sono relativamente comuni, specialmente in alcuni paesi.
Di che altro dovrei essere a conoscenza?
Sono dell'opinione che l'autenticazione sia l'ultima delle tue preoccupazioni.
Senza https
correttamente implementato, un attacco man-in-the-middle - che può essere eseguito da un attore di livello statale (si pensi governo cinese , GCHQ , o NSA ) - o chiunque abbia accesso alla rete a cui ci si sta collegando - gli utenti malintenzionati possono iniettare payload dannosi nel sito Web in questione. Tutto il tuo traffico può essere snoopato e sostituito con contenuti dannosi.
Immagina di richiedere jQuery.js
, ma il sito web in questione ti offre jQuery-hacked.js
. Questa versione compromessa di jQuery finisce per fare tutto normalmente, ma fornisce anche una funzionalità aggiuntiva: carica javascript dannoso che normalmente non verrebbe ricevuto, il che introduce una vulnerabilità o dieci.
Peggio ancora, dato che i siti web possono controllare vedere se hai o meno un Flash installato e in esecuzione , insieme alla sua versione, lì potrebbe essere un'iniezione di un plugin Flash dannoso, anche se invisibile, nella tua pagina web. Ho avuto questo attacco in diversi posti all'estero.
A quel punto, non sarebbe importante se tu fossi dietro sette proxy. Eseguita l'esecuzione del codice in modalità remota oppure utilizza Flash per eseguire il polling delle informazioni hardware univoche , sei fregato.
Opzioni per la protezione delle informazioni sensibili
Poiché si tratta di un sito Web sulla sicurezza delle informazioni e molte delle attività che svolgiamo qui nel nostro lavoro comprendono la conservazione sicura delle informazioni, è necessario essere consapevoli di ciò che può accadere e adottare le misure necessarie per evitare una violazione delle informazioni.
Faresti bene a evitare tutti i WiFi aperti ( inclusi gli hotel ) a meno che non ti importa del dispositivo e del suo contenuto. Personalmente uso sempre il WiFi non protetto semplicemente perché non mi importa dei dispositivi o dei contenuti, e anche perché intendo studiare l'azione spettrale che si svolge dietro le quinte.
Ecco cosa farei se dovessi proteggere informazioni sensibili come protected health information
, personal information
(dati cliente), o anche government secrets
:
- Non utilizzare il WiFi pubblico.
- Non usare Flash. Mai.
- Non abilitare Javascript a meno che non sia necessario. Inoltre, utilizza NoScript.
- Utilizza HTTPS ovunque .
- Non utilizzare Java nel tuo browser. Mai.