HTTP: analisi delle debolezze e attitudine [chiuso]

-3

Molte domande su questo argomento qui intorno, ma non ho trovato questa particolare angolazione

Sfondo: l'invio di qualsiasi informazione di valore con HTTP e tramite HTTPS è una cattiva idea (nel raro caso in cui un sito web rispettato potrebbe offrirti questa opzione). L'istituzione onnipresente di SSL è sfortunatamente stata un po 'lenta, secondo me, come i prezzi elevati e il pasticcio con i certificati per l'amministratore del sito web con esperienza bassa / media. (forse iniziative come questa sbriglino che sebbene? link )

Domanda: Ma quanto è insicuro l'uso di HTTP per esempio il tuo intero blog Wordpress "non così importante", se sei a conoscenza che le tue password non vengono crittografate e quindi sono solo ad accesso sensibile parti di esso su reti note sicure (ad es. il WP2-SPK wifi di casa)? (seduto su un "pubblico" (crittografato o meno) wifi / LAN in cui non ti fidi dell'hotspot e / o degli altri utenti connessi è una propria storia di sicurezza, escludi che l'utente non è a conoscenza del rischio di sicurezza di base in questo caso )

Assicurati che nessuno ti spaventi tra il tuo computer e il tuo router, quanto sei sicuro di poter stimare i tuoi dati su HTTP? Non ho capito cosa potrebbe accadere potenzialmente sulla strada tra il tuo router e il server, anche se ti assicurassi "la tua fine", quali cose potrebbero accadere nel lungo viaggio attraverso il web verso il server?

Il tuo blog di hobby su HTTP è "abbastanza buono" (considerando che generalmente sei bravo a utilizzare password univoche, ecc.) o dovrebbe essere utilizzata una VPN sempre nei casi di password HTTP +?

    
posta Cander 23.03.2016 - 12:54
fonte

2 risposte

2

È possibile che un utente malintenzionato possa avere la possibilità di guardare la rete più ampia o Internet - qualcuno del tuo ISP o nel data center in cui è ospitato il tuo server. Vari governi hanno questa capacità; generalmente si spera di eliminare le credenziali a vista e di non mantenerle o usarle a meno che non siano parte di un'indagine attiva, ma probabilmente non è vero.

Ti fidi di ogni dispositivo sulla tua rete locale? Ci sono casi di ad es. smart TVs inviando a casa i nomi di tutti i file condivisi sulla rete locale - non è troppo difficile immaginare un dispositivo Internet of Things senza scrupoli o compromesso che guarda i dati trasmessi sulla rete locale.

La vera domanda è "cosa può succedere se qualcuno fa ottiene la tua password?". Se il blog ha pochi utenti e la password non viene utilizzata altrove, probabilmente non è la fine del mondo: solo la pagina del tuo blog riceve malware / nuovi annunci. Ma se usi la password e l'email altrove, tutti questi account potrebbero essere compromessi.

    
risposta data 23.03.2016 - 13:19
fonte
0

Penso che questa domanda sia molto ampia e non possa essere esaudita. Ma cerco di evidenziare alcuni aspetti che dovrebbero essere valutati dall'OP:

  • HTTPS protegge solo il trasporto dei dati tramite la crittografia dei dati. Soprattutto non protegge il sito web stesso e non implica che il sito possa essere considerato attendibile in alcun modo.
  • HTTPS offre all'utente un po 'più di privacy nascondendo parzialmente quali dati vengono utilizzati. Nasconde solo il contenuto e l'URL completo ma non nasconde l'host a cui l'utente accede. Spesso è anche possibile utilizzare facilmente il tipo di traffico per scoprire quali parti del sito sono state visitate. Ciò significa che anche con lo sniffing passivo molte informazioni sul comportamento degli utenti possono essere ottenute, ma è più difficile che sniffare semplici connessioni.
  • HTTPS protegge contro la manomissione del traffico. Ciò significa che nessun attaccante attivo può modificare il traffico. Tale modifica del traffico viene effettuata anche da alcuni ISP per monetizzare il traffico (ad esempio, inserire pubblicità). Nota che HTTPS non protegge da modifiche eseguite sul lato client o utilizzando proxy "fidati" come Superfish .
  • HTTPS protegge dallo spoofing del DNS o da attacchi simili e quindi aiuta anche in caso di router compromesso con impostazioni DNS modificate in modo malevolo.
  • HTTPS ha alcuni effetti negativi sulle prestazioni principalmente a causa dei maggiori costi di configurazione della connessione. Questo può essere parzialmente mitigato con il riutilizzo della sessione TLS, le connessioni keep-alive e HTTP / 2.

Alla fine HTTPS può spesso, ma non sempre, essere facilmente configurato e anche a basso costo sul lato server. Il sovraccarico aggiunto non importa molto nella maggior parte dei casi, specialmente per un blog personale. Ha alcuni vantaggi per l'utente anche se non trasferisci dati sensibili, come una maggiore (ma non completa) privacy e protezione contro la manipolazione del traffico da parte dell'ISP. E poiché offre ovviamente vantaggi a costi moderati, sarebbe bello offrirlo anche per i siti con dati non sensibili (per i dati sensibili è comunque obbligatorio). Ma non è il super sicuro e la tecnologia che preserva la privacy.

    
risposta data 23.03.2016 - 13:31
fonte

Leggi altre domande sui tag