Sim, o tráfego HTTPS, incluindo as senhas, é criptografado. Se a página da Web de HTTP redireciona você para um site HTTPS onde as senhas são autenticadas, as senhas não correm risco ...
... ASSUMINDO (uh oh ...) que a página HTTP está redirecionando você para o site HTTPS que você acha que é.
E, mesmo que a página HTTP redirecione você para o site HTTPS que você acredita, hoje você corre o risco de que isso não aconteça do jeito que você pensa na próxima semana. Então talvez você possa pegar suas senhas então.
Veja, com HTTPS, aqui está como funciona: Seu navegador da web verifica a PKI e seu armazenamento de certificados local e confia no site HTTPS. Então as senhas são criptografadas e você está tudo bem.
O problema com uma página HTTP inicial é o seguinte: seu navegador da Web não verifica a página da Web HTTP. Assim, um invasor ("ataque man-in-the-middle") pode perceber seu tráfego HTTP e enviar uma página de login falsa. A falsa página de login pode fazer isso: enviar suas senhas postadas para um site malicioso, em vez do site HTTPS que você acha que está usando. Esse site mal-intencionado pode capturar suas senhas e, em seguida, redirecioná-lo para o site HTTPS, com suas senhas postadas no site HTTPS legítimo. Se feito muito bem, isso pode ser muito difícil para você detectar.
Assim, a comunicação HTTP oferece uma oportunidade para você ser atacado facilmente, e pode ser difícil para você perceber isso. Contudo, E se a comunicação HTTP não é atrapalhada, então quando você envia as senhas para o site HTTPS correto, você deve estar seguro a partir de então.
Isso pressupõe que o site HTTP forneça o formulário de login e envie os dados postados para o site HTTPS. Se o site HTTP tiver você postar os dados em um endereço HTTP e, em seguida, você for redirecionado para HTTPS, provavelmente estará vulnerável em ter suas senhas inaladas nesse ponto.
Um bom site só vai ignorar todas essas preocupações usando HTTPS no início; assim que a pessoa obtiver a página de login inicial, se não antes. (Outra técnica que está começando a ser usada com mais frequência, especialmente se a segurança do site é realmente importante, redireciona todo o tráfego HTTP para HTTPS como a primeira etapa, minimizando assim a quantidade de comunicações HTTP.)
EDIT: Adicionando respostas para perguntas adicionais:
O uso do MAC OSX ou do iPad OSX diminuiria as chances de invasão?
Não. De jeito nenhum. Isso nem é como a teoria do "Mac é imune aos vírus", o que também não é inteiramente verdade. Pelo menos essa afirmação tinha algum raciocínio decente por trás disso: a maioria dos malwares (na época em que essa teoria era citada) era frequentemente projetada para o Microsoft Windows.
Não, em vez disso: os ataques que você descreve têm a ver com o tráfego de rede. Se você estiver usando o Mac OSX ou o IOS do iPad, espero que você esteja usando protocolos padrão como TCP / IP e Ethernet ou Wi-Fi. Esses são exatamente os mesmos protocolos padrão que o TCP / IP, Ethernet e Wi-Fi que são implementados por outras plataformas, como Microsoft Windows e sistemas operacionais baseados em Linux. Portanto, o uso dessas implementações da Apple não ajudará, nem mesmo um pouquinho, em proteger você de sniffing de rede.
Usar uma VPN negaria as chances de invasão? Eu estava usando VPN ...
Sim, isso ajudará. Talvez insuficientemente, mas provavelmente ajudaria.
Então, se você tem um computador em casa e usa uma VPN para enviar tráfego através de seu ISP para uma rede em outro local (como onde você trabalha ou sua escola, talvez?), Então alguém ainda pode farejar o tráfego esse local remoto para o site desejado. No entanto, o tráfego da Web (HTTP e HTTPS) deve ser imune ao sniffing de rede pelo ISP à medida que vai da sua casa até a outra extremidade do túnel VPN. Então isso oferece alguma proteção.
Claro, tudo isso está assumindo que a tecnologia VPN é implementada com segurança / corretamente. Se houver vulnerabilidades, qualquer uma dessas técnicas poderá falhar. Por exemplo, mesmo o tráfego HTTPS não economiza o suficiente se o seu navegador aceitar certificados feitos por um dispositivo no meio.
É provável que um hacker crie uma página de login falsa?
Se esse tráfego é de natureza financeira, os hackers têm muito incentivo para fazer tal ataque.
Caso contrário ... umm ... bem, parece que eu tenho lido muito estes dias que, mesmo para o tráfego menos importante / interessante, os invasores freqüentemente estão varrendo o tráfego de rede e estão impedindo os mecanismos de segurança. A resposta precisa exata pode depender de quanto você acredita em teorias sobre conspirações corporativas / governamentais, mas tal comportamento definitivamente existe.
Um serviço de webmail não estaria ciente disso?
Sim, o provedor de webmail pode estar inconsciente disso.
Como eu digitaria um endereço de webmail para me levar a um site falso?
Digamos que o endereço do webmail use HTTP, não em uma VPN. Eu possuo um computador pelo qual o tráfego da rede passa. (Lembre-se de que a Internet foi projetada para que o tráfego seja transmitido por redes diferentes.) Eu vejo que o seu navegador envia uma solicitação HTTP para http://my-favorite-paid-site.com . Antes de eu transmitir o tráfego para http://my-favorite-paid-site.com (se eu me incomodo em fazer isso), eu envio informações para o seu navegador. Seu navegador da web recebe dados, que acredita que vêm do site, mas na verdade vieram de mim. Seu navegador da web mostra um website e afirma que esses dados vieram do site. No entanto, na verdade veio de mim.
Ou, em vez de atacar o fluxo HTTP, eu poderia enviar dados diferentes quando você enviar a solicitação de DNS. Existem vários tipos de ataques e muitos tutoriais e livros e até cursos universitários que abordam esses conceitos com mais detalhes. Basta procurar por "MITM" (que significa "Man In The Middle") para ver algumas maneiras diferentes que o tipo de ameaça pode ser implementado.