O tráfego de https em uma rede sem fio não criptografada é seguro?

21

Isso é algo que eu me pergunto há muito tempo. Se, digamos, usar o Gmail por meio de https, alguém poderá ler minhas conversas e e-mails por mensagem instantânea se eu usar uma rede sem fio desprotegida? Eu suponho que os dados seriam seguros, uma vez que está usando uma conexão criptografada. Há mais alguma coisa a considerar?

wireless-networking security encryption

— davidscolgan
fonte

3

Artigo de leitura obrigatória relacionado: Firesheep

— Sathyajith Bhat

1

Eu acho que estava o artigo que o levou a fazer uma pergunta sobre esse assunto.

— JFW

21

Eu pensaria que alguém ainda poderia executar um ataque man-in-the-middle se você estiver em wi-fi inseguro (ou mesmo garantido wifi, se acontecer de você encontrar uma maneira de ser permitido). É por isso que você precisa sempre verifique se a conexão SSL está verde na barra de endereço e / ou verifique manualmente se o certificado é válido ao usar o wifi não protegido. Supondo que o certificado esteja correto, o SSL deve proteger seus dados.

— Darth Android
fonte

7

se realmente SSL criptografado com certificados SSL não comprometidos corretamente verificados, então o ataque MITM é impossível.

— ewanm89

@ ewanm89 É por isso que eu preciso verificar o certificado ao fazer transações bancárias / e-mail / qualquer coisa sensível sobre redes não seguras. Se você não perceber que o certificado não consegue validar, o MITM é possível. Felizmente, os navegadores nos dias de hoje tornam muito difícil não notar.

— Darth Android

1

Para adicionar a @ ewanm89, não é impossível ser um MITM e sniffar pacotes - é simplesmente impossível lê-los porque eles são criptografados.

Certo, isso está dividindo os cabelos. MITM e ter um pacote que se parece com dados aleatórios é tão inútil quanto não fazer isso em primeiro lugar na maioria dos casos. Mas sim, pode-se rastrear qual domínio um computador está conectando também, mas não sabe os dados reais enviados / recebidos. Além disso, se formos honestos, eu poderia, em teoria, forçar as teclas AES com poder de computação suficiente (é preciso muito).

— ewanm89

Além disso, suponho que a autoridade de certificação não esteja comprometida, verifique se a autoridade de certificação que os administradores do site realmente acessaram a autoridade de certificação e perguntou aos administradores qual deve ser a impressão digital do certificado por outro canal. Como se pode ver, verificar corretamente um certificado SSL é raro (embora seja feito em aplicações como o openvpn, onde o administrador distribui os certificados antes da conexão, o cliente também deve verificar isso).

— ewanm89

2

Eu acho que seu raciocínio está correto; para ler suas informações, elas precisariam descriptografar o SSL. Haveria apenas um nível de criptografia a menos para que eles quebrassem, a fim de acessar os dados criptografados.

— PeterT
fonte

2

Contanto que o DNS e os servidores raiz do SSL do seu navegador sejam válidos, um invasor na mesma rede sem fio não segura, pois você não pode entrar em seu canal SSL com um servidor.

O DNS é a grande vulnerabilidade nessa área - se a sua cadeia de servidores DNS for infectada por um invasor, isso pode fazer com que todos os tipos de coisas pareçam estar seguras, mas, na verdade, inseguras.

Mas se a sua pergunta é se um hacker aleatório em um aeroporto ou loja de café vai conseguir invadir seu canal SSL para o seu banco, a resposta certamente não é.

— stevemidgley
fonte

1

De qualquer forma, lembre-se de que somente os dados dentro do fluxo http são criptografados, mas os URLs não são, então talvez alguém possa se passar por você.

— Ignacio Soler Garcia
fonte

2

Isto simplesmente não é verdade. Tudo no URL solicitado, exceto o nome do domínio, é criptografado antes de ser enviado pela conexão segura. Isso inclui a solicitação GET em si.

— Andrew

1

Você também precisa considerar que as páginas iniciais não SSL não estão protegidas.

A maioria dos sites protegidos que você visita o redirecionam de um http para um URL https quando você acessa a página de login, mas em uma rede não confiável, você pode ser enviado para outro lugar por um funcionário do meio.

Considere que você poderia visitar http://firstoverflowbank.com , que normalmente o redirecionaria para https://login.firstoverflowbank.com mas na rede não segura é definido em vez de enviar-lhe https://login.flrstoverflowbank.com em vez de. Você provavelmente não notará, mesmo que tenha tempo para verificar e o navegador mostrará tudo como sendo seguro.

Para evitar esse tipo de coisa, marque ou digite o URL https: // diretamente, nunca confie nesse redirecionamento.

— Andrew
fonte