Password rubata su Wi-Fi pubblico anche se è stato utilizzato https [duplicato]

Naviga le tue risposte
0

Ho visto questo video in cui il reporter di notizie è in un luogo pubblico e un esperto di sicurezza le dimostra che anche se ha eseguito il login alla pagina che utilizzava https, quel tizio ha ottenuto la password nel suo computer.

Come potrebbe funzionare, qualche idea? Non riesco a trovare il video, ma il video non ha più dettagli o parole da affiancare a quello che stai attento a usare qualsiasi altra wifis gratuita. È stato pubblicato poco prima delle Olimpiadi in Russia.

Pensavo che https fosse sicuro, ma ha mostrato sullo schermo la password che aveva scritto nel modulo di accesso.

    
posta Muhammad Umer 20.09.2014 - 07:08
fonte

1 risposta

0

È questo il video a cui ti stai riferendo?

Se il sito non ha HSTS (HTTP Strict Transport Security) abilitato, credo che tu possa acquisire le informazioni di accesso senza generare un avviso di certificato usando software come SSLstrip.

SSLstrip non si preoccupa di falsificare un certificato; al contrario, rimuove completamente SSL. Molte pagine Web sono accessibili tramite HTTP standard e HTTPS sicuro, ma la pagina HTTP standard reindirizza alla versione HTTPS. SSLstrip funziona osservando questi reindirizzamenti e quindi blocca l'accesso per assicurarsi che la vittima si colleghi a una versione HTTP della pagina di accesso. Se l'utente malintenzionato desidera mantenere il simbolo del lucchetto, può reindirizzare la vittima a una pagina di accesso falsa sul proprio server che utilizza HTTPS.

Per proteggerti, devi sempre controllare la barra degli indirizzi per assicurarti che HTTPS sia effettivamente in uso quando ti aspetti che sia, e che l'URL del sito corrisponda a quello che ti aspettavi. Dai anche un'occhiata a HTTPS Everywhere .

Vedi Come bloccare l'attacco sslstrip?

    
risposta data 22.09.2014 - 04:02
fonte

Leggi altre domande sui tag

C'è qualche vantaggio nella crittografia dell'hash della password nel mio database? jRAT virus su Linux