¿Qué tan peligroso es revisar el correo electrónico en una red Wi-Fi abierta?

Navega tus respuestas
2

¿Qué tan arriesgado es consultar mi correo electrónico en mi teléfono inteligente en una red Wi-Fi abierta (es decir, Starbucks o Old Navy)? ¿Es esto solo un riesgo si alguien está husmeando? ¿Tienen que estar allí o pueden dejar un dispositivo de grabación y volver más tarde para recopilar los datos?

Específicamente, ¿qué pasa si reviso mi correo de Yahoo? ¿Alguien puede ver y robar mi contraseña y luego iniciar sesión en mi cuenta de correo electrónico?

Además, ¿qué sucede si estoy utilizando el correo web para verificar el correo electrónico de mi dominio personal a través de SquirrelMail? No creo que sea una conexión HTTPS. ¿Importa esto, y ayudará HTTPS?

Como puedes imaginar, no tengo ni idea de esto y quiero saber cuáles son las probabilidades de que suceda algo y cómo sucedería.

Actualización: según la respuesta a continuación, estoy actualizando esta pregunta:

Cuando accedo e inicio sesión en el correo de Yahoo, veo HTTPS en el navegador, por lo que asumo que es una conexión segura y que puedo ingresar mi contraseña de forma segura e iniciar sesión. Responda a continuación si esto no es correcto.

Lo que aprendí de la primera respuesta fue que iniciar sesión en el correo web de mi dominio a través de un enlace HTTP regular es arriesgado. Lo verifiqué y puedo iniciar sesión en mi correo web de la siguiente manera (modifiqué las URL a continuación para eliminar información personal) ...

  1. Ingreso enlace

  2. Esto me lleva a: enlace

  3. Ingresé mi nombre de usuario y contraseña en la ventana emergente y presioné enter

  4. Ahora estoy conectado en: enlace y puedo leer mis correos electrónicos.

¿La forma anterior de iniciar sesión en el correo web a través de la ruta HTTPS parece segura en una red Wi-Fi abierta? ¿Puedo relajarme ahora, o debo preocuparme?

    
pregunta if_it_aint_broke 23.07.2015 - 20:48
fuente

2 respuestas

7

respuesta no técnica:

Si su conexión está (buena) encriptada entre su teléfono y su servidor de correo, no debería ser un problema. Pero si no, o accediendo a través de la interfaz web sin HTTPS, algunas personas o compañías malas podrán leer los datos.

Si no confías en el cifrado y tampoco en la red, no lo hagas.

También tiene que confiar en su teléfono / computadora portátil para manejar los certificados de una manera correcta, de lo contrario alguien podría ofrecerle su otra conexión Cert y SSL / TLS y descifrarla y cifrarla y pasarla a su servidor (Man in the Middle)

Conclusión:

Si puede garantizar una conexión segura cifrada punto a punto (Teléfono - Servidor de correo) con un buen cifrado, todo debería estar bien, si no puede asegurarse de esto, manténgase alejado.

    
respondido por el bMalum 23.07.2015 - 21:04
fuente
0

La probabilidad de que alguien se siente en un restaurante o cerca de él y capture el tráfico de la red es bastante pequeña. No digo que no se haya hecho, pero para la mayoría de los consumidores, no será un gran problema.

Sin embargo, en los casos de verificación de correo electrónico, esto puede ser más sensible. El correo web, aunque HTTPS es lo suficientemente seguro como para impedir la mayoría de los ataques (si no todos). Mientras su sesión completa de lectura de correo electrónico se realice con HTTPS, todo estará bien. Algunos sitios web pueden perder contenido al colocar contenido entregado a través de HTTP en la misma página. Mozilla Firefox advertirá a los usuarios sobre este comportamiento con un ícono en la barra de direcciones.

Lamayorpreocupacióndebeserqueseestáconectandoaunareddeconfianza.Esposiblequeeldispositivodeenrutamiento"inspeccione" las conexiones SSL. Se verá un icono de bloqueo seguro, e incluso el nombre y la autoridad emisora pueden ser correctos. Como señala GRC, la huella digital será diferente ( enlace ).

Solo los sitios web con certificados auténticos de Validación extendida (EV) vistos con Firefox o Chrome son inmunes a la manipulación (hasta donde sabemos).

Esto es mucho más probable en un entorno corporativo, pero Forefront Threat Management Gateway de Microsoft muestra evidencia de las capacidades de "inspección" de HTTPS:

    
respondido por el dark_st3alth 10.01.2017 - 04:27
fuente

Lea otras preguntas en las etiquetas

¿Por qué uno puede querer obtener certificados diferentes para diferentes subdominios? ¿Cómo mantener una verificación de origen / referencia para que la prevención CSRF no bloquee las URL que se escriben?