Sì, è una minaccia. Non solo con reti aperte, qualsiasi rete di proprietà di qualcuno di cui non ti fidi (come le reti commerciali che sono protette ma forniscono una password) Ci sono molte cose che possono fare:
Leggi tutto il tuo traffico non criptato
Qualunque cosa tu invii tramite una connessione http può essere letta da loro. Password, nomi utente, numeri di carte di credito, opere. Tutti questi sono inviati in chiaro e possono essere facilmente registrati.
Molte app funzionano anche su connessioni non criptate. Ci sono molte informazioni importanti che possono essere intercalate da quelle.
Riproduci tutto il traffico crittografato
Di solito è difficile falsificare HTTPS perché è necessario un certificato valido per farlo funzionare. Tuttavia, molte volte digiti un URL HTTP nella barra degli indirizzi e ti reindirizza all'equivalente HTTPS. Ad esempio, quando digiti http://mail.google.com
nella barra degli indirizzi, ottieni quanto segue (è un reindirizzamento):
<html>
<head>
<meta http-equiv="Refresh" content="0;URL=http://mail.google.com/mail/"/>
</head>
<body>
<script type="text/javascript" language="javascript">
<!--
location.replace("http://mail.google.com/mail/")
-->
</script>
</body>
E se non ci fosse? Mentre le app che accedono direttamente a GMail continueranno a funzionare (sanno di https), tutto ciò che scrivi nella barra degli indirizzi che non è esplicitamente https può essere phishing. Possono reindirizzare a un GMail falso, dove effettuerai il log in e ruberanno le tue credenziali. Anche se l'autenticazione a due fattori aiuta, non impedisce loro di rubare i tuoi cookie, il che gli consentirà di accedere al tuo account fino alla disconnessione.
È anche possibile il contrario. Possono utilizzare un reindirizzamento 301 Moved Permanently
per servire HTTP quando chiedi HTTPS e ti daranno qualcosa che dice http://mail.google.com
nell'URL ma in realtà punta a un server completamente diverso. Sia i browser per dispositivi mobili che quelli per desktop sembrano consentire reindirizzamenti 301 senza problemi. I browser di ricerca dei desktop fanno casino quando c'è un reindirizzamento HTTPS non autorizzato, ma i browser mobili no.
Sui browser desktop moderni, è facile identificare quando ciò accade, ad esempio, Chrome mostra questo:
quandosuunaconnessionehttps.Seseiavvisato,noteraisel'HTTPSvienesostituitoconHTTPsuunbrowserdesktop(poichél'iconanonèpiùverde),malamaggiorpartedeibrowsermobilinonsembraaverealcunmododiindicareunaconnessionesicura.
Questoproblemapuòessererisolto(sullatosito)utilizzandoHSTSedallatuaparteutilizzandoisegnalibriemantenendolacronologiadelbrowser.
Accessononautorizzatoaldispositivo
Asecondadelleimpostazionidicondivisione(ediciòchesiimpostasullarete-sempre,sempreusa"Pubblico" per reti che non si fidano), potrebbe essere possibile accedere al proprio filesystem di Windows . A meno che tu non abbia impostato ssh o telnet (e se lo fai, suppongo tu sappia come tenerlo al sicuro), Linux è generalmente al sicuro da questo. Anche la maggior parte dei telefoni.