Supponendo che abbiamo una "connessione a barra verde" per un sito web, ad esempio:
Unutentemalintenzionatoèancoraingradodirilevareiltraffico?
Quantoèsicurounutentedagliattacchiman-in-the-middlequandohastabilitouna"connessione a barra verde"?
È possibile ma altamente improbabile:
Un utente malintenzionato potrebbe aver creato un certificato falso basato sulla compromissione di un certificato CA o sulla progettazione inversa di uno valido. Entrambi sono creduti difficili, ed è per questo che il sistema è creduto sicuro, ma sono già accaduti prima. In genere, una volta che l'estensione del compromesso è nota, il tuo sistema operativo o gli sviluppatori del browser spingeranno un aggiornamento a revocare la fiducia in tutti i certificati fraudolenti o compromessi.
Un utente malintenzionato potrebbe anche aver inviato il proprio certificato "root attendibile" sul proprio computer tramite cavallo di Troia. In tal caso, eventuali certificati con una catena di fiducia basata su tale radice verranno considerati attendibili dal computer. Gli strumenti per la rimozione di malware sono in grado di rilevare ed eliminare le radici attendibili fraudolente conosciute e cercare Trojan che provano a installarli in primo luogo.
Un Trojan installato può anche eseguire il key-log, evitando completamente le comunicazioni sicure; se un utente malintenzionato può guardare i personaggi che inserisci mentre li inserisci sulla tua macchina, non ha bisogno di compromettere il canale TLS; può guardare ciò che digiti prima che sia crittografato, compresi nomi utente / password. Ancora una volta, il keylogging è un exploit comune che il software AV "annusa" per i processi in-memory.
I believe that I'm now safe from all phishing and pharming attempts.
Poiché solo poche CA possono rilasciare tali certificati di validazione estesa (EV) "a barra verde", si ha maggior ragione se si ha fiducia nei certificati EV. Potrebbe essere ancora possibile che la CA sia stata compromessa, come fatto con Comodo e DigiNotar nel 2011. Non è possibile per un utente malintenzionato aggiungere solo una nuova CA al sistema perché l'elenco delle CA che possono rilasciare certificati EV è codificato in modo rigido in il browser (almeno con Firefox e Chrome), quindi un utente malintenzionato dovrebbe applicare patch o sostituire il browser per mostrare i propri certificati falsi con il verde.
La falsificazione dei certificati non EV è molto più semplice perché uno qualsiasi dei 100 della CA attendibile nel browser o una qualsiasi delle sue CA secondarie potrebbe rilasciare tale certificato. Ciò significa che un utente malintenzionato può semplicemente scegliere la CA / CA secondaria più debole. E per i certificati non EV è anche sufficiente importare una nuova CA nel browser, cosa che un trojan potrebbe fare.
Ovviamente l'hacker potrebbe anche provare ad aprire una nuova finestra in cui emula l'intero browser utilizzando JavaScript, inclusa la barra degli URL verdi e la decorazione della finestra (ho visto un attacco simile molto tempo fa, quando ha provato a emulare Internet finestra di explorer).
Are there any other vulnerabilities?
Un sacco. Esistono regolarmente vulnerabilità di applicazioni Web come XSS e SQL injection anche su siti con certificato EV. Il certificato non dice nulla sulla sicurezza del sito stesso, viene utilizzato solo per identificare il sito.
Is it still possible for me to be hacked?
Naturalmente. Il sito potrebbe essere compromesso e servire malware. Oppure il sito potrebbe pubblicare annunci e gli annunci serviranno il malware (questo è chiamato malvertising). Ancora una volta, il certificato non dice nulla sulla sicurezza del sito o di qualsiasi sito incluso (pubblicità, tracciamento, social network ...).
Leggi altre domande sui tag web-browser chrome dns public-key-infrastructure tls