If someone knows my wifi password (be it WEP or WPA) what can they see on my screen? Do they just see URLs I visit, or can they see everything in my browser,....or can they see everything I do on my computer? Does using HTTPS make any difference?
Non possono vedere nulla sullo schermo (a meno che tu non abbia abilitato una sorta di programma di condivisione dello schermo del desktop remoto non criptato).
Possono comunque osservare tutti i dati inviati al e dal tuo computer (presumo che per WPA / WPA2 abbiano osservato l'handshake a 4 vie all'inizio di ogni sessione o che siano stati forzati banalmente il tuo computer per avviare un altro handshake), a meno che non abbia crittografato tali dati utilizzando un protocollo come HTTPS. In genere eseguivano un programma di acquisizione dei pacchetti come wireshark per decrittografare la crittografia wifi.
Ancora una volta, sarebbero in grado di vedere quali pagine web HTTP avete richiesto, quali collegamenti cliccate, il contenuto HTML delle pagine Web che avete richiesto, le informazioni che pubblicate su un sito web, nonché tutti i dati (ad es. immagini / filmati) inviati a te o da te. Possono anche interferire con il traffico che ti viene inviato (ad es. Modificare il contenuto che vedi). Garantito a chiunque si trovi nelle vicinanze può sempre interferire e causare la negazione del servizio wifi senza conoscere la tua password (ad es., L'attivazione di un forno a microonde spesso interferisce con il traffico wifi che ti viene inviato). O hanno il loro computer / router che controllano completamente che invia messaggi impersonati come te o il tuo router.
Se visiti solo i siti HTTPS, non possono decrittografare i dati (a meno che non abbiano in qualche modo ulteriormente compromesso il tuo computer). Tuttavia, anche con HTTPS possono vedere quali indirizzi IP stai inviando / ricevendo dati da (sebbene solitamente l'indirizzo IP gli consenta di dire quale dominio, ad es., Se sei passato a 69.59.197.21 il suo stackexchange.com
). Sapranno anche quando e quanto vengono inviati i dati crittografati. Questo è forse sufficiente per dare informazioni private. Immagina di essere andato su una pagina web tramite HTTPS che ha avuto i risultati del tuo test dell'HIV e un intercettatore stava ascoltando. Se la pagina web per un risultato negativo mostrava 3 immagini (di dimensioni specifiche) e un file PDF da 10 MB sul sesso sicuro, mentre la pagina per risultati positivi aveva 15 immagini e tre file PDF che erano rispettivamente 8MB, 15MB e 25 MB potrebbe essere in grado di capire quali sono stati i loro risultati osservando quanti dati sono stati inviati e quando. Questo tipo di attacco è stato utilizzato per capire cosa cercavano le persone su un motore di ricerca popolare (dai risultati istantanei forniti per diverse query) o approssimativamente stimare il tipo di reddito che qualcuno aveva in un sito fiscale https. Vedi Leaks canale laterale nelle applicazioni Web (pdf) .
È possibile che tutte queste informazioni siano disponibili anche per il proprio ISP e per ogni router intermedio tra il computer e il server che si sta tentando di visitare.
Secondly, if the attacker does NOT live nearby, is it possible for them to set up a laptop in my neighbours house for example, and programatically record all my traffic...or alternatively can they relay the data from the laptop to their own computer elsewhere, via the web?
O è banale programmarlo supponendo che il tuo vicino non si preoccupi di mettere un laptop in casa (o che hanno trovato una fonte di energia e un posto dove nascondere il computer).