Безопасен ли трафик https через незашифрованную беспроводную сеть?

21

Это то, что я задавался вопросом в течение длительного времени. Если, скажем, я использую Gmail через https, может ли кто-нибудь прочитать мои чаты и электронные письма, если я использую незащищенную беспроводную сеть? Я предполагаю, что данные будут в безопасности, поскольку они используют зашифрованное соединение. Есть что-нибудь еще, чтобы рассмотреть?

wireless-networking security encryption davidscolgan
источник
3
Связанные должен прочитать статью: Firesheep
Sathyajith Бхат
1
Я думаю, что это была статья, которая побудила его / ее задать такой вопрос на эту тему.
JFW

Ответы:

21

Я думаю, что кто-то еще может выполнить атаку «человек посередине», если вы используете незащищенный Wi-Fi (или даже защищенный Wi-Fi, если им удастся найти способ быть разрешенным). Вот почему вам нужно всегда проверять, чтобы SSL-соединение отображалось зеленым цветом в вашей адресной строке, и / или вручную дважды проверять действительность сертификата при использовании незащищенного Wi-Fi. Предполагая, что сертификат правильный, тогда SSL должен защищать ваши данные.

Дарт Андроид
источник
7
если действительно SSL зашифрован с должным образом проверенными не скомпрометированными сертификатами SSL, то атака MITM невозможна
ewanm89
@ ewanm89 Именно поэтому я повторяю, что нужно проверять сертификат при выполнении банковских операций / электронной почты / чего-либо чувствительного в незащищенных сетях. Если вы не заметили, что сертификат не прошел проверку, MITM возможен. К счастью, в наши дни веб-браузерам очень трудно не заметить.
Дарт Андроид
1
Чтобы добавить к @ ewanm89, невозможно быть MITM и анализировать пакеты - просто невозможно прочитать их, потому что они зашифрованы.
Хорошо, это раскалывает волосы. MITM и наличие пакета, который выглядит как случайные данные, так же бессмысленно, как и не делать это в первую очередь в большинстве случаев. Но да, можно отслеживать, к какому домену подключается компьютер, но не знать фактических данных, отправленных / полученных. Кроме того, если мы собираемся быть совершенно честными, я теоретически мог бы перебрать ключи AES с достаточной вычислительной мощностью (подсказка, это занимает много времени).
ewanm89
Кроме того, я предполагаю, что ЦС не скомпрометирован, проверяется, что ЦС, который на самом деле делали администраторы сайта, идет в этот ЦС и спрашивает администраторов, какой отпечаток сертификата должен быть у другого канала. Как видно, правильная проверка SSL-сертификата встречается редко (хотя это делается в таких приложениях, как openvpn, где администратор распределяет сертификаты перед подключением, а клиент тоже полностью его проверяет).
ewanm89
2

Я думаю, что ваши рассуждения верны; чтобы прочитать вашу информацию, им потребуется расшифровать SSL. Для доступа к зашифрованным данным у них будет всего один уровень шифрования.

PeterT
источник
2

Если ваш DNS и серверы корневых ключей SSL вашего браузера действительны, то злоумышленник в той же незащищенной беспроводной сети, что и вы, не может войти в свой канал SSL с сервером.

DNS является большой уязвимостью в этой области - если ваша цепочка DNS-серверов заражена злоумышленником, это может сделать все, что кажется безопасным, но на самом деле небезопасным.

Но если ваш вопрос заключается в том, сможет ли случайный хакер в аэропорту или кафе взломать ваш SSL-канал для вашего банка, ответ почти наверняка нет.

stevemidgley
источник
1

В любом случае имейте в виду, что шифруются только данные внутри http-потока, а URL-адреса нет, поэтому, возможно, кто-то может выдать себя за вас.

Игнасио Солер Гарсия
источник
2
Это просто неправда. Все в запрошенном URL-адресе, кроме имени домена, шифруется перед отправкой через защищенное соединение. Это включает в себя сам запрос GET.
Андрей
1

Вы также должны учитывать, что начальные не-SSL-страницы не защищены.

Большинство защищенных сайтов, которые вы посещаете, перенаправят вас с http на URL https, когда вы перейдете на страницу входа в систему, но в ненадежной сети вы можете быть отправлены куда-то другим человеком в середине.

Учтите , что вы могли бы посетить http://firstoverflowbank.com , которые, как правило , перенаправить вас на https://login.firstoverflowbank.com но на незащищенной сети устанавливается вместо того, чтобы отправить вас в https://login.flrstoverflowbank.com вместо , Вы, вероятно, не заметите, даже если вы потратите время на проверку, и браузер покажет все как безопасное.

Чтобы избежать такого рода вещей, добавьте в закладки или введите https: // url напрямую, никогда не полагайтесь на это перенаправление.

Эндрю
источник