Si voy a enlace , no estoy redirigido a enlace . Si no tiene https en la URL, ¿puede ser seguro el inicio de sesión? ¿Normalmente me redireccionan a una página https en otros sitios? ¿Cómo gestiona Facebook su inicio de sesión?
No, no es seguro ingresar su nombre de usuario y contraseña en enlace : //facebook.com.
El objetivo del formulario de inicio de sesión apunta a una URL https, por lo que un atacante pasivo no puede leer su contraseña:
<form method="POST" action="https://www.facebook.com/login.php?login_attempt=1"
Pero un atacante, que puede modificar el flujo de datos, puede manipular el código html que contiene el formulario de inicio de sesión. Puede modificar la URL de destino o agregar algún código javascript que envíe una copia del nombre de usuario y la contraseña a su propio servidor.
Además, después de iniciar sesión, Facebook envía la cookie de sesión a través de una conexión http. Esto permite que incluso un atacante pasivo actúe en tu nombre. Esto no es un ataque teórico, hay una herramienta llamada Firesheep que es extremadamente fácil de usar.
Para evitar el primer riesgo, siempre use enlace : //facebook.com para iniciar sesión. Hay una extensión del navegador llamada enlace que lo hace por usted e incluso se mantiene en https que también evita los ataques del estilo Firesheep.
Solo el inicio de sesión a través de enlace es seguro, y NO enlace que en este momento no redirige automáticamente al sitio seguro.
Debido a que el objetivo del formulario de inicio de sesión es una URL https, como lo indica el código fuente, los datos del formulario no se pudieron leer mediante un ataque pasivo y, en ese sentido, es seguro. Pero un ataque activo a través de la modificación del flujo de datos, que podría permitir la inyección de código malicioso por parte de un pirata informático para robar el nombre de usuario y la contraseña ingresados, podría realizarse fácilmente.
Los datos subsiguientes en la cookie de sesión también se envían a través de una conexión http, lo que permite a los atacantes pasivos actuar en nombre de uno, incluso sin haber robado los datos de inicio de sesión del formulario en la página principal. La extensión de prueba de concepto Firesheep, escrita por el desarrollador Eric Butler para Firefox, demuestra cómo esto es posible. Lifehacker ha escrito más sobre el necesidad de cifrado SSL en este sentido.
Para evitar tales ataques, en Facebook, uno puede simplemente editar la configuración de la cuenta, seleccionar Seguridad de la cuenta y marcar la casilla de verificación para habilitar HTTPS, bajo el encabezado de Navegación segura. Con esta opción, ciertas páginas, en particular, algunas aplicaciones de Facebook que aún no han sido habilitadas para HTTPS, pueden no funcionar correctamente; sin embargo, el sacrificio de esa funcionalidad perdida podría hacerse por seguridad de la cuenta.
Además, hay extensiones de navegador web disponibles para habilitar automáticamente el cifrado HTTPS, siempre que sea posible, no solo para Facebook, sino para todos los sitios web. La Electronic Frontier Foundation (EFF) y el Proyecto Tor han creado una extensión llamada HTTPS Everywhere que está disponible para Firefox y Google Chrome . Otras extensiones similares pueden estar disponibles para el navegador que elija.
Si accede a enlace , iniciará sesión utilizando SSL. Sí, sería bueno si Facebook redirigiera, pero aún no lo hacen.
Puede hacerlo usted mismo yendo directamente a la versión https de la página, o use HTTPSEverywhere que le ayudará empujándote a la página https para muchos sitios comunes, incluido facebook.
Lea otras preguntas en las etiquetas web-application authentication tls appsec