HTTPS в общедоступной беспроводной сети: это нормально?

1

Зашифрованы ли мои данные, когда я использую общедоступный Wi-Fi для перехода на защищенный сайт, использующий HTTPS? Это намного более рискованно, чем когда я в защищенной сети?

security https wireless-networking
источник
1
Ad-hoc или точка доступа?
Ry-

Ответы:

4

Ваши данные зашифрованы с помощью шифрования SSL, но любой в сети (а это значит, практически любой, в общедоступном незащищенном Wi-Fi) может прослушивать трафик. Насколько он защищен, зависит от криптографии используемого вами браузера и сервера, с которым вы общаетесь, поскольку SSL будет использовать самый низкий общий криптографический знаменатель.

Также имейте в виду, что некоторая криптография SSL была взломана .

Однако для многих целей шифрование SSL будет сохранять ваши данные достаточно конфиденциальными. Если вы скрываете детали получателя в праздничные дни, вы, вероятно, в порядке, но если вы передаете незаконные правительственные секреты, возможно, вы захотите найти более безопасную сеть.

Стоит отметить, что если весь трафик с веб-сайта на другом конце не зашифрован, после того как вы установили учетные данные на сайте, если оставшаяся часть сеанса на сайте не зашифрована, ваша аутентификация на основе файлов cookie с сайтом исчезнет. на всеобщее обозрение. Нередко сайты зашифровывают только те данные, которые они считают рискованными, когда вы их получаете, но затем используете незащищенный HTTP до конца сеанса, тем самым раскрывая ваши куки (а также вашу идентификацию и аутентификацию на сайте) в открытом доступе. ,

кори
источник
4
Вы не можете воспроизвести трафик TLS. Сервер использует новое случайное число в каждом рукопожатии, клиент должен использовать это число в последующем рукопожатии. TLS был бы действительно глуп, если бы разрешал повторы.
Эриксон
1
Можете ли вы предоставить источник для вашего заявления о том, что возможны повторные атаки SSL / TLS?
CodesInChaos
1
Ссылки на этот вопрос содержат некоторые подробности о TLS, повторах и ссылках на спецификации. Однако уязвимы будут только плохо реализованные клиенты / серверы, которые не должны включать стандартные браузеры. Повторы обычно невозможны, если кто-то не испортил или не обнаружил ошибку. security.stackexchange.com/questions/3664/…
Zoredache
Нет, действительно, я ошибся, так как (по-видимому) хорошо задокументировано. Ответ исправлен - спасибо за указание на мою ошибку!
Кори
1

Да, HTTPS использует SSL. Уровень безопасности.

Он шифрует обмен между вашим компьютером и сервером. Но, как и любое шифрование. Это можно взломать. Но это занимает очень много времени.

За исключением случаев, когда вы являетесь секретным агентом, этой безопасности достаточно.

Gp2mv3
источник
0

HTTPS должен избегать атак MiTM, просто имейте в виду, что, если есть предупреждение, вы, вероятно, подвергаетесь атаке.

Если вы беспокоитесь о своей конфиденциальности, то настройте SSH-туннель или купите VPN.

Фабиан Эредиа Монтиэль
источник
0

Если вы используете HTTPS, реальные веб-страницы передаются в зашифрованном виде, но любой, имеющий доступ к той же сети Wi-Fi, может видеть такие данные, как

  • DNS-запросы
  • имена хостов сайтов, которые вы посещаете из-за указания имени сервера (SNI)
  • объем данных, передаваемых с / на определенные IP-адреса

(WPA2 Enterprise может сделать прослушивание для других пользователей невозможным, но это вряд ли будет использоваться для общедоступного Wi-Fi и не мешает владельцу сети делать такие вещи.)

Для большей безопасности вы должны использовать VPN. Тогда единственные вещи, которые другие люди в том же WiFi должны видеть, это имя хоста (из-за поиска DNS) вашей VPN, его IP-адрес и объем данных, которые вы передаете в / из вашей VPN. Может быть дополнительная утечка данных, когда ваша операционная система или программа пытается передать данные, пока VPN еще не подключен, поэтому маршруты еще не настроены. На устройствах Android есть параметр, блокирующий передачу данных, когда он не подключен к VPN.

Мартин
источник