Я много раз слышал, что HTTPS следует использовать для передачи личных данных, поскольку HTTP уязвим для перехватчиков. Но с практической точки зрения, кто способен подслушивать HTTP-трафик данного серфера? Их интернет-провайдер? Другие люди в той же локальной сети? Кто-нибудь знает их IP-адрес?
Легко - просто проложите кабель от вашего ПК до сервера.
Возможно, это характерно для Австрии, но, вероятно, похоже во всем мире.
предположим, что у нас есть пользователь DSL:
Любой, у кого есть доступ к локальной инфраструктуре, может прослушивать трафик
Любой, у кого есть доступ к медной инфраструктуре и оборудованию, способному расшифровывать данные, может подслушать. Большая часть этой проводки относительно незащищена, и к ней легко получить доступ, если вы знаете, где искать, но для фактического декодирования данных вам, вероятно, понадобится какое-то очень специфическое оборудование.
Большинство DSLAM подключены через оптоволокно к некоторому типу оптоволоконного кольца / MAN к маршрутизаторам провайдера.
В Германии были истории, где якобы трехбуквенные агентства из США подслушивали трафик в городской сети. Существуют готовые устройства, которые могут это сделать, вам просто нужен правильный бюджет, намерения и знание местной инфраструктуры.
Учитывая, что целевой сервер не находится в той же автономной системе, что и пользователь, трафик должен отправляться через «Интернет». Если вы пользуетесь Интернетом, используйте цитату из Snatch: «Все ставки отключены». Существует так много укромных мест, к которым могут присоединиться злоумышленники, что лучше всего предполагать, что весь ваш трафик будет считываться.
DHS (или, может быть, какое-то другое агентство) активно прослушивало магистральную инфраструктуру в США на этом уровне.
См. Выше.
Вот так уже было атаковано довольно много сайтов. Ethernet не предлагает защиты для хостов, которые находятся в одном (V) LAN / широковещательном домене, поэтому любой хост может попробовать спуфинг / отравление ARP, чтобы выдать себя за другой сервер. Это означает, что весь трафик для данного сервера может быть туннелирован через машину в той же (V) LAN.
В коммутируемой локальной сети (как и в большинстве сетей Ethernet) вы можете использовать отравление кэша ARP, чтобы во многих случаях отбросить такой трафик. По сути, вы можете подделать клиентский компьютер и заставить его думать, что ваша подслушивающая станция - это маршрутизатор вне локальной сети.
В локальных сетях с разделяемой средой, т. Е. Без коммутации, как беспроводной Ethernet без шифрования или со взломанным шифрованием- вам даже не нужно этого делать. Просто слушай!
У интернет-провайдера, интернет-провайдера интернет-провайдера, интернет-провайдера интернет-провайдера и т. Д. Злоумышленнику нужно будет только перехватить трафик. Любая точка на пути, через который проходит трафик, может быть перехвачена. Между ними также есть локальные сети, поэтому всегда есть возможность подслушивания путем отравления кеша ARP и т. Д.
Наконец, на дальнем конце будет другая локальная сеть, столь же восприимчивая к перехвату, как и исходная локальная сеть.
J. Случайный идиот, который знает ваш IP-адрес, не собирается подслушивать ваш трафик, не взломав что-то по пути или не отвлекая поток трафика от его обычного пути к ним.
Да, открытый текст - это плохо.
Если вы включите беспроводную связь в соединение в любом месте на пути (карта Wi-Fi, беспроводной мост и т. Д.), То любой, кто даже находится в непосредственной близости от сети, сможет слушать.
WEP легко ломается, учитывая достаточно короткий период времени, когда вы сидите рядом с загруженной сетью, и когда вы находитесь в сети, вы можете просматривать трафик всех.
Попробуйте сами, если хотите. Загрузите программу под названием WireShark и попросите ее выполнить захват в режиме Promiscious. Посмотри, что получится!
Все, что является деликатным, конфиденциальным, частным и связанным с бизнесом, следует отправлять через HTTPS. Подписанный сертификат стоит недорого, и если вы находитесь в домене, вы можете создать свой собственный центр сертификации, который можно использовать для назначения сертификатов для шифрования трафика, которому автоматически будут доверять клиенты в том же домене.
В зависимости от вашего интернет-провайдера и от того, используется ли ваше соединение совместно, другие пользователи вашего локального канала могут перехватить весь ваш трафик. Обычно это соседи. Это дополнение к списку людей, упомянутых в других ответах.
Кроме того, помимо подслушивания, существует также атака «человек посередине», когда кто-то встает между вами и рассматриваемым веб-сервером. Если вы разговариваете по SSH с удаленным сервером, атака «человек посередине» никуда не приведет. Если вы говорите в открытом виде, они могут действовать как прокси и видеть все, что вы делаете.
Дело в том, что люди могут подслушивать ваши разговоры, даже не находясь в вашей локальной или удаленной локальной сети. Отравление кеша ARP для людей в вашей локальной сети (или тех, кто взломал вашу локальную сеть), а также отравление DNS, чтобы заставить вас думать, что вы разговариваете с кем-то, кроме того, кто вы есть. Если вы используете HTTPS с купленным подписанным сертификатом, люди могут знать, что они не обращаются к правильному серверу, поскольку сертификат будет неправильным.
Любой, у кого есть доступ к маршрутизатору, коммутатору или другому сетевому оборудованию на пути между вашим компьютером и веб-сервером, может отслеживать ваш трафик. Они тоже видят ваш https-трафик, они просто не могут его понять.
Посмотри это вопрос, ваше воздействие с использованием http такое же, как и в упомянутых там протоколах.
Обратите внимание, что вы также можете столкнуться с проблемой при использовании HTTPS, если вы не подтвердили внеполосный сертификат, используемый другой стороной. То есть, если вам будет предложено сообщение о том, что удаленный сайт не может быть проверен по какой-либо причине, вы можете говорить не с самим сайтом, а со злоумышленником, который будет ретранслировать ваш трафик на реальный сайт и с него. , записывая все это время.
Помимо всех уже упомянутых способов сниффинга ваших данных, в последнее время гораздо больший интерес вызвал старый: игра с таблицами BGP. На Defcon в августе 2008 года Антон Капела и Алекс Пилосов продемонстрировали новый путь сделать «шунт BGP», направить весь ваш трафик в место, куда он обычно не идет, и (это было главным новшеством в их разговоре) сделать это так, чтобы ни отправитель, ни получатель не заметили этого.
Таким образом, даже если потенциальный сниффер не находится где-то на обычном пути к вашим данным, он все равно может его захватить. Как говорили другие, шифрование.
Правильный способ думать, что если вы используете открытый текст, то любой может получить доступ к этой информации (общедоступной информации). Будь то в сети или для доступа к внешнему веб-сайту. Существует так много атак и перенаправлений, которые можно выполнить, что невозможно предварительно просмотреть.
По этой причине отправляйте общедоступную информацию (или информацию, которая не является строго конфиденциальной) только открытым текстом. Да, включая электронную почту.
* Кстати, попробуйте traceroute на любой веб-сайт и посмотрите, сколько переходов находится посередине. Ваши данные проходят через все из них: