Подтвердить что ты не робот

Понимание риска форм входа в систему без SSL

Как пользователь веб-приложений, я стараюсь только подписываться на службы, которые используют защищенные SSL-формы для входа. Как разработчик, я знаю, что риск состоит в том, что не SSL-формы передаются в текстовом виде, а недобросовестный человек может "обнюхать" HTTP-трафик и выяснять мой логин и пароль.

Однако, каков реальный риск или возможность этого события, если я говорю, дома, на моем DSL или кабельном интернет-соединении? Где должен быть запущен сниффер пакетов? Могут ли пакеты быть обнюханы в любой точке на сервере? Легче ли "обнюхивать пакеты" в корпоративной сети с большей локальной сетью, а не дома?

Я долгое время разрабатывал веб-приложения, но я никогда этого не понимал. Я хотел бы получить разъяснения по этому поводу.

Спасибо.

4b9b3361

ОТВЕТЫ

Ответ 1

Риск того, что ваш трафик будет обманут на node между вашим провайдером и получателем, удален. Вы бы стали одним из миллионов, и на этом уровне требуется нетривиальное количество вычислительной мощности для проверки пакетов для идентификации пакетов, содержащих регистрационную информацию.

Реальный риск находится в локальной сети, как было указано. 2 наиболее распространенных сценария:

  • На зараженном компьютере или вредоносных пользователях используются трюки, такие как отравление ARP, чтобы обнюхать весь незашифрованный трафик. Отравление ARP довольно незаметно для сетей с низким трафиком. В сетях с высоким трафиком это приведет к заметной деградации производительности и увеличению вероятности обнаружения. Эффективность отравления ARP может быть уменьшена благодаря добросовестному разделению сети.

  • Кто-то контролирует шлюз. Вероятно, это худший сценарий, так как весь интернет-трафик проходит через шлюз. В зависимости от того, насколько умна атакующая, это может быть очень сложно обнаружить.

SSL защищает от обнюхивания, и у него есть еще одно преимущество, о котором вы, возможно, не знаете: SSL позволяет вам убедиться, что сущность, получающая ваши пароли и другие данные, является тем, кого вы так считаете.

Если вы заявляете, что являетесь жертвой отравления DNS, когда кто-то перенаправляет вас на вредоносный сайт, который выглядит точно так же, как на законном веб-сайте, вы бы не знали. С SSL вы получите предупреждение/ошибку, что на сайте нет действительного сертификата, который предупредит вас, что все не так, как должно быть.

Лично я настраиваю свои пароли на то, распространяется ли информация по HTTPS. Я делаю это, потому что неизбежно, что в конечном итоге мне понадобится логин через HTTP в ненадежной сети.

Ответ 2

Пакет можно обнюхивать абсолютно в любом месте маршрута между клиентом и сервером. Злоумышленнику просто необходим физический доступ к одной из этих сетей.

Очевидно, что чем ближе вы к "багажнику" (ISP), чем к "листу" (домашний маршрутизатор, домашний компьютер), тем больше вы можете нюхать.

При спуфинге DNS злоумышленник может изменить этот маршрут, чтобы он прошел через систему, которую они контролируют.

Возможно, самый простой способ почувствовать это - попробовать самому. Установите Wireshark и посмотрите, как легко просматривать материал, проходящий мимо.

Ответ 3

Кабель довольно легко обнюхивает пакеты, поскольку это общий широковещательный носитель. Рабочие сети, не так много. Как правило, переключается, кто-то должен будет настроить вас специально (или выполнить общую настройку мониторинга порта), чтобы обнюхать ваш трафик. DSL является прямым для ISP, поэтому не так много. Когда-то в сети, реалистичные шансы кого-то украсть его очень низки. Учетные записи почти всегда украдены путем взлома базы данных или кражи информации с незащищенной беспроводной сети. И из этих 2, взлома базы данных напрямую имеет лучший коэффициент риска/вознаграждения, поэтому он является самым популярным.

Ответ 4

На самом деле, в зависимости от вашей настройки сети, у вас может быть повышенный риск дома, как у людей. Если в вашей сети есть безопасность, а соседка - нет, риск намного, намного ниже, конечно.

В любое время, когда кто-то может получить слушателя между вами и получателем, будь то в вашей домашней сети или какой-либо большой сети, они могут нюхать.

Риск, в целом, довольно низкий, так как не каждый может понюхать любого маршрутизатора. Но, не используя SSL, вы ставите большое доверие людям, которых вы не знаете.

Я отношусь к этому так. Если на сайте есть что-то, что я хочу, но без SSL, я сделаю это, если не будет полученной финансовой информации. На этих сайтах я использую электронную почту "spamcatcher". Если учетная запись обнюхается, нет никакого серьезного ущерба, так как она отправляется на электронную почту, которую я редко проверяю.: -)

Ответ 5

Если вы разрабатываете веб-сайт для публичного использования, вы также должны знать, что весь трафик, не связанный с SSL в регионе, может быть проверен или изменен государственной или крупной телекоммуникационной компанией.

Рассмотрите отчеты в январе 2011 года о том, что правительство Туниса выполняет инъекцию JavaScript для незашифрованных посещений страницы входа в Facebook: https://www.eff.org/deeplinks/2011/01/eff-calls-immediate-action-defend-tunisian

Страницы, содержащие форму входа, должны ВСЕГДА быть доставлены через SSL, а целевое действие формы должно также ВСЕГДА использовать SSL. Для чего угодно, кроме игрушечных сайтов, предназначенных для личного потребления, что-то меньшее безответственно.

Ответ 6

  • "Однако, каков реальный риск или возможность этого события": зависит от множества факторов. Самый большой будет сайт, который вы используете, банковское дело будет выше, чем StackOverflow.
  • "Где должен быть запущен сниффер пакетов": он может быть на любом node пробеге данных (включая вредоносное ПО на вашем компьютере). Чтобы увидеть количество узлов, вам будет показан простой traceroute.
  • "Могут ли пакеты быть обнюханы в любой момент на сервере": Да
  • "Легче ли" обнюхивать пакеты "в корпоративной сети с большей локальной сетью, а не дома": Нет, требования одинаковы. Получите контроль над node, когда пакеты перемещаются и добавляют сниффера.

Ответ 7

Запустите traceroute. Буквально каждый интерфейс или маршрутизатор между вами и получателем может захватывать ваши пакеты.

Начиная с вашего собственного компьютера, на котором запущен пакетный сниффер без вашего ведома, возможно, в результате заражения.

Ответ 8

Люди упускают из виду тот факт, что очень легко захватывать ваши данные по Wi-Fi. ЛЮБОЙ пользователь в той же сети Wi-Fi, что и ваши пакеты, когда он перемещается в/из точки доступа. Многие инструменты позволяют любителям хакеров сделать это.

SSL шифрует данные, поэтому, даже если человек, находящийся рядом с вами в кафе, может захватывать и хранить ваши данные, он шифруется благодаря SSL и в основном бесполезен для хакера. Без SSL ваше имя пользователя, пароли, информация о кредитной карте и т.д. Является простым текстом и так же легко читается, как и этот пост.

Ответ 9

пакеты не волшебным образом перемещаются прямо из вашей сети на сервер. пакеты, как правило, пересекают несколько различных сетей до достижения конечного пункта назначения. в любой момент в цепочке кто-то мог захватить трафик.

Ответ 10

Легче обнюхивать пакеты в вашей сети. Таким образом, WLAN представляет большую опасность. Если к вашему коммутатору/маршрутизатору подключен другой компьютер, он может обнюхивать пакеты, манипулируя функциями маршрутизатора/коммутатора (ARP Spoofing/Poisioning), см. текст ссылки.

Обнюхивающий человек в WAN должен сделать намного больше работы! Таким образом, ваш IP должен быть известен, и злоумышленник должен управлять одним node на пути ваших пакетов, чтобы обманывать пакеты оттуда.

Ответ 11

Я думаю, потому что:

  • Вы не можете контролировать, где ваш пользователь будет входить в вашу систему.
  • Вы не можете быть уверены, что ваш интернет-провайдер не понюхает ваш пакет. (Что, если какой-то злой хакер сумел это сделать)

Это просто Интернет. С другими вы мало что можете сделать. Лучший способ - обеспечить себя.