Şifrelenmemiş bir kablosuz ağ üzerinden https trafiği güvenli midir?

21

Bu uzun zamandır merak ettiğim bir şey. Söylersem, Gmail’i https üzerinden kullanmak, güvenli olmayan bir kablosuz ağ kullanırsam birisi IM sohbetlerimi ve e-postalarımı okuyabilir mi? Şifreli bir bağlantı kullandığından, verilerin güvenli olacağını varsayalım. Dikkate alınması gereken başka bir şey var mı?

wireless-networking security encryption

— davidscolgan
kaynak

3

İlgili okunması gereken makale: Firesheep

— Sathyajith Bhat

1

Ben düşünüyorum oldu / onu bu konuda böyle bir soru sormak için onu istenir makale.

— JFW

21

Eğer güvensiz wifi kullanıyorsanız (hatta izin verilecek bir yol bulursa bile güvenli wifi) birisinin hala ortada bir saldırı gerçekleştirebileceğini düşünüyorum. Bu gerek yüzden hep kontrol etmenizi adres çubuğu ve / veya teminatsız wifi kullanırken sertifikanın geçerli olduğunu elle çift kontrol altında yeşil yukarı SSL bağlantısı gösterilmektedir. Sertifikanın doğru olduğunu varsayarak, SSL verilerinizi korumalıdır.

— Darth Android
kaynak

7

Eğer gerçekten SSL uygun şekilde kontrol edilmemiş, güvenli olmayan SSL sertifikalarıyla şifrelenmişse, MITM saldırısı mümkün değildir.

— ewanm89

@ ewanm89 Bu yüzden, bankacılık / e-posta / güvenli olmayan ağlar üzerinde hassas olan herhangi bir şey yaparken sertifikayı kontrol etmem gerektiğini yineliyorum. Sertifikanın doğrulanamadığını fark etmezseniz, MITM mümkündür. Neyse ki webbrowsers bugünlerde fark etmemek çok zor.

— Darth Android

1

@ Ewanm89’a eklemek için, bir MITM olması ve paketlerin koklanması imkansız değildir - şifreli olduklarından bunları okumak imkansızdır.

Tamam, bu saçları bölmek. MITM ve rastgele verilere benzeyen bir pakete sahip olmak, çoğu durumda ilk etapta yapmamak kadar anlamsızdır. Ancak evet, bir bilgisayarın da hangi etki alanına bağlandığını izleyebilir, ancak gönderilen / alınan gerçek verileri bilmiyor olabilir. Ayrıca, eğer tamamen dürüst olacaksak, teorik olarak AES anahtarlarını yeterince hesaplama gücü ile zorlayabilirim (çok fazla ipucu alır).

— ewanm89

Ayrıca, CA’nın tehlikeye atılmadığını varsayıyorum, biri site yöneticilerinin aslında CA’ya gittiğini kontrol ediyor ve yöneticilere sertifika parmak izinin başka bir kanal tarafından ne olması gerektiğini soruyor. Görüldüğü gibi, bir SSL sertifikasını düzgün bir şekilde kontrol etmek nadiren görülür (gerçi yöneticinin bağlantıyı önce dağıtdığı açıkvpn gibi uygulamalarda yapılır, ancak istemci bunu tamamen doğrulamak için de geçerlidir).

— ewanm89

2

Bence mantığınız doğru; Bilgilerinizi okumak için SSL şifresini çözmeleri gerekir. Şifrelenmiş verilere erişmek için kırılması için daha az bir şifreleme düzeyi olacaktır.

— PeterT
kaynak

2

DNS'niz ve tarayıcınızın SSL rootkey sunucuları geçerli olduğu sürece, güvenli olmayan bir kablosuz ağda bulunan bir saldırgan, bir sunucuyla SSL borunuza giremezsiniz.

DNS bu alandaki en büyük güvenlik açığıdır - DNS sunucu zinciriniz bir saldırgan tarafından etkilenirse, her şeyi güvenli hale getirebilir, ancak aslında güvensiz olabilir.

Ancak sorunuz bir havaalanında veya kafede rastgele bir bilgisayar korsanının bankanıza SSL borunuzu sokabilmesi olup olmayacağı ise, cevap neredeyse kesin değil.

— stevemidgley
kaynak

1

Her neyse, yalnızca http akışındaki verilerin şifreli olduğunu, ancak URL’lerin şifrelenmediğini, bu nedenle birinin sizi taklit edebileceğini unutmayın.

— Ignacio Soler Garcia
kaynak

2

Bu sadece doğru değil. Etki alanı adı dışında istenen URL’deki her şey güvenli bağlantı üzerinden gönderilmeden önce şifrelenir. Bu, GET isteğinin kendisini de içerir.

— Andrew,

1

SSL olmayan ilk sayfaların korunmadığını da göz önünde bulundurmanız gerekir.

Ziyaret ettiğiniz çoğu güvenli site, giriş sayfasına giderken sizi bir http'den https URL'sine yönlendirir, ancak güvenilmez bir ağda, ortada bir adam tarafından başka bir yere gönderilebilir.

Ziyaret olabileceğini düşünün http://firstoverflowbank.com genellikle yönlendirebilir hangi, https://login.firstoverflowbank.com ama güvenli olmayan ağ üzerinde gönderecek yerine ayarlanır https://login.flrstoverflowbank.com yerine . Kontrol etmek için zaman ayırsanız ve tarayıcı her şeyin güvenli olduğunu gösterse de, muhtemelen farketmezsiniz.

Bu tür şeylerden kaçınmak için doğrudan https: // url'yi işaretleyin veya yazın, asla bu yönlendirmeye güvenmeyin.

— Andrew
kaynak