Particularmente los que son, en cierta medida, el resultado de los consejos dados por las compañías que lo utilizan, por ejemplo. Bancos, sitios de comercio electrónico, etc.
Concepción errónea popular: Si el icono de bloqueo está presente, el sitio es seguro.
Realidad: ¡De ninguna manera! En el mejor de los casos, SSL protege los datos de la intercepción mientras están en tránsito. No garantiza que el punto final sea confiable. No hay garantía sobre lo que el punto final hace a los datos una vez que los recibe. Como Gene Spafford escribió una vez,
SSL es como usar un camión blindado para transportar rollos de monedas entre alguien en un banco del parque y alguien que hace negocios desde una caja de cartón.
También, hay muchas situaciones en las que el icono de candado no garantiza que los datos estén seguros durante el tránsito: por ejemplo, falla de CA, organizaciones que ponen una imagen de un ícono de candado en la página, contenido mixto, widgets de terceros, sslstrip, y muchos otros.
Concepción errónea popular: Si el sitio parece legítimo, probablemente lo sea.
Realidad: No. El aspecto del sitio no es un buen indicador de su seguridad. Es trivial para un phisher copiar la apariencia del sitio en un sitio falso. Este es un caso en el que nuestras intuiciones del mundo físico nos llevan por mal camino: no es fácil configurar un banco bancario falso que parezca legítimo, con columnas de mármol y todo, pero es trivial configurar un sitio web bancario falso que parezca legítimo. .
Concepción errónea popular: Cualquier cosa puede ser hackeada.
Realidad: Puede que esta no sea la mejor manera de pensar las cosas. Conduce a una actitud derrotista que dice: ¿por qué preocuparse por la seguridad, si siempre está destinada a fallar? La realidad es que algunas actividades son mucho más seguras que otras, y con un poco de atención, se puede reducir significativamente la probabilidad de estar expuesto a problemas de seguridad.
Malentendido popular: el hacking funciona como en las películas. Los hackers son genios inadaptados románticos que pueden piratear cualquier cosa con unos pocos minutos de escritura rápida.
Realidad: En realidad, la mayoría de los ataques provienen de criminales de variedades de jardín que intentan ganar dinero rápidamente robando, engañando y estafando a las personas. Apenas son super genios; El prerrequisito principal del trabajo es la voluntad de robar, engañar y mentir. Suelen estar motivados por consideraciones monetarias: buscarán la forma más rápida y fácil de ganar dinero. En algunos casos, pueden estar asociados con el crimen organizado. Estas no son personas a las que admirar o admirar.
Error popular: las redes inalámbricas son inseguras. Los delincuentes se sientan en cibercafés tratando de piratear tus cosas. Sin embargo, si no estás usando la tecnología inalámbrica, estarás bien.
Realidad: Si bien algunas redes inalámbricas 802.11, principalmente redes WiFi abiertas y protegidas por WEP, son un riesgo de seguridad significativo, no es tan malo. La mayoría de los ataques provienen de alguien que está al otro lado del mundo, no de un tipo de aspecto vago que se sienta al otro lado del café. No todas las redes inalámbricas se crean de la misma manera. Por ejemplo, su conexión 3G en su teléfono es probablemente mucho más difícil de interceptar o atacar que una conexión Wifi abierta. Y, definitivamente, está en riesgo incluso si no está conectado a una red inalámbrica; el hecho de que se esté conectando a través de una red cableada no significa que sea inmune a los ataques.
Este es uno de la parte superior de mi cabeza.
Página de inicio de sesión en la página http que publica en la página https NO está bien
Muchos sitios web (incluido facebook / twitter) muestran la página de inicio de sesión en una página http y envían las credenciales de inicio de sesión a una página https. Esto está bien en lo que concierne a la confidencialidad de sus credenciales, pero solo si está seguro de que no ha sido MITM en la página de inicio de sesión. Nada garantiza eso.
La gente cita la sobrecarga computacional como una razón para no hacer ssl en cada página. Esta teoría podría necesitar una reconsideración después de que los resultados empíricos de Google muestren que SSL / TLS ya no es computacionalmente costoso .
Básicamente, todo lo que voy a decir más se menciona en este artículo: SSL no se trata de cifrado
El público en general no conoce y no tiene el concepto de "conexión segura", SSL / TLS, navegación segura, cifrado o intercepción de datos. El público en general no se preocupa por cómo funciona la tecnología, sino por lo que puede hacer por ellos. También consideran que la interfaz (página web de fx.) Es la única parte de la aplicación, sin nada detrás de ella. No tienen ningún concepto de servicios backend.
El error más grande que tiene el público es que incluso los sistemas de seguridad fuertes pueden ser fácilmente eludidos por un hacker experto. Me preguntan constantemente si puedo hackear Gmail, Banco, Gobierno, policía, lo que sea. Simplemente les respondo que ven demasiadas películas, que en realidad es mucho más difícil y requieren mucho trabajo dedicado, lo que hace que las posibilidades de un hack exitoso sean extremadamente bajas.
También es relevante: enlace
Hay una idea falsa, no por el "público en general", pero muchas personas más o menos involucradas en la seguridad. Dice que: "SSL / TLS se ha roto tantas veces, es inherentemente débil".
En realidad, SSL / TLS es el protocolo de transporte más analizado; cada vez que un criptógrafo piensa en una nueva forma de realizar ataques de texto cifrado o cosas así, trata de ver si el SSL está afectado. Mucho más raramente mirará otros protocolos como SSH. Por lo tanto, si SSL / TLS es el protocolo más reparado , también es el más robusto porque se ha verificado contra todos los ataques conocidos.
Además, muchos ataques a SSL son en realidad ataques a X.509, el tipo de certificado utilizado por SSL; y la mayoría de los estos ataques no son intrínsecos a X.509 sino a la forma en que los proveedores de sistemas operativos y navegadores los manejan (es decir, permiten que las CA de apariencia sombría sean consideradas como "anclas de confianza"). Muchas de las personas que pronuncian el mantra "SSL está roto" lo utilizan de hecho como un eslogan para canalizar su rechazo al modelo económico utilizado por las Autoridades de Certificación existentes, por lo que esta es política y está muy lejos de los méritos técnicos ( o falta del mismo) del propio protocolo SSL / TLS.
Lea otras preguntas en las etiquetas web-application tls