¿La dirección de envío, la dirección de correo electrónico, etc. están sin cifrar a través de Internet? como lo hace Three UK - ¿una mala práctica de seguridad?

4

Por lo tanto, uso la red Three en el Reino Unido para acceder a Internet en mi teléfono. Recientemente, noté que cuando visitaba mobile.three.co.uk para acceder a servicios que también incluyen información sobre mi dirección de correo electrónico, dirección de mi casa, mi PIN para acceder a la configuración de seguridad, etc. (es decir, mi información personal y de seguridad), que el sitio web no fue encriptado! Esto significaba que toda mi información personal y mi número de PIN confidencial y otra información de seguridad se transmitían a través de Internet, ¡lo cual es muy, muy malo para la seguridad!

¿Estoy exagerando o no es una buena práctica de seguridad?

Puedes ver las capturas de pantalla que tomé:

enlace

enlace

Ahora, en esa página de la imagen de arriba, tengo que ingresar un PIN de acceso, después del cual puedo acceder a las páginas que muestran la dirección de mi casa, la dirección de correo electrónico, la configuración internacional, las preguntas de seguridad, etc. - pero esta página también usa HTTP no HTTPS! (Sin embargo, cualquier página relacionada con datos financieros, como los datos de débito directo, está encriptada y se muestra como HTTPS, ¿pero seguramente las páginas con información personal también deberían estar encriptadas?)

    
pregunta Julian Jesus 08.06.2017 - 22:52
fuente

2 respuestas

3

La respuesta de @Guille es absolutamente correcta, sin embargo, hay un aspecto que podría no tener en cuenta y es específico de las redes móviles.

Las capturas de pantalla publicadas muestran que usted está conectado a Three a través de 4G, que está encriptado y es muy probable que nunca salga a internet y es manejado directamente por Three a través de una red interna (4G se considera cifrado seguro, según tengo entendido en este punto), por lo tanto, el tráfico solo estará sin cifrar en tránsito en las redes internas de Three. Este escenario sería muy similar a la cantidad de empresas que transfieren todos estos datos mediante HTTP, y solo se encriptan cuando dejan sus redes, por ejemplo, en balanceadores de carga o proxies inversos. En este caso, nunca se saldrá de la red "confiable".

Una forma de probar esto es encender WiFi y verificar que esto todavía se maneja de la misma manera.

Sin duda, estoy de acuerdo en que HTTPS sería la mejor práctica, pero puede que no sea tan malo como parece inicialmente.

    
respondido por el user2867314 24.08.2017 - 16:50
fuente
2

No es una buena práctica, por supuesto.

Como se sugirió, pueden estar usando HTTPS para enviar el formulario, pero la sobrecarga de usar HTTPS para todo en el sitio es mínima en la actualidad, por lo que parece poco probable. Además, al no usar HTTPS en el sitio web principal para iniciar sesión, cualquier persona con capacidades de MiM puede saber que está en ese sitio web (es posible que no puedan obtener las credenciales si se usa HTTPS).

En resumen, no es bueno, es una mala práctica e inseguro, además de disminuir su privacidad.

    
respondido por el Guille 25.07.2017 - 00:39
fuente

Lea otras preguntas en las etiquetas