Además de las contraseñas de texto sin formato, ¿hay algo de qué preocuparse con los sitios que no usan SSL?

Navega tus respuestas
1

Me he dado cuenta de que uno de los sitios en los que estoy buscando unirme no usa SSL, incluso al iniciar sesión.

Tengo curiosidad sobre las implicaciones de seguridad, además de la extracción de contraseñas de texto sin formato, con esta mala práctica. Supongo que un MITM podría configurarse interceptando toda la información de texto sin formato y podría usarla contra otros (como ip, información de inicio de sesión, etc.).

Tengo curiosidad sobre cuál es el enfoque recomendado para usar sitios como este? Estaba pensando en una VPN y un nombre de usuario / contraseña aleatorio para lograr esto.

¿Sería mejor no usar el sitio? Aunque, hay muchos sitios por ahí que son así, lo que da miedo.

EDITAR: Debo mencionar que cuando digo "preocuparse" me refiero en el contexto de simplemente crear una cuenta, iniciar sesión, navegar y comentar mensajes en el sitio. No me refiero a nada que pueda causar problemas, es decir, información de la cuenta bancaria o cualquier otra "información confidencial" (además de las contraseñas).

EDIT2: Segunda parte de esta pregunta para aquellos que podrían estar en esta situación. Si ya se ha registrado en un sitio que no tiene SSL, ¿qué pasos se deben tomar para deshacerse de su información y / o protegerse ellos mismos?

EDIT 3: ¿Los problemas con SSL aparecen solo con SSL al iniciar sesión o es necesario que el sitio tenga SSL en su totalidad? Hay muchos sitios con SSL solo en el inicio de sesión, y por lo que se dice aquí, parece que todo el sitio debería usar SSL.

    
pregunta XaolingBao 26.12.2016 - 23:16
fuente

3 respuestas

2

El problema principal es MITM, cualquier cosa que sea capaz de monitorear sus transmisiones puede capturar / reproducir datos, y por supuesto cambiar dinámicamente los datos, con impunidad.

Esto es realmente una mala práctica para cualquier sitio y debe informarles de inmediato.

Lo ideal es que no utilices el sitio. Si crees que debes hacerlo, asegúrate de no proporcionar ningún dato que pueda usarse para robo de identidad, phishing o ataques similares.

Siempre me parece realmente extraordinario que, en esta era de ataques cibernéticos, algunos propietarios de sitios y algunos usuarios parecen tener absolutamente la menor idea de que esto es un problema.

Si, como está implícito, este es solo un sitio del foro, todavía me aseguraría de que no usé mi dirección de correo electrónico "normal" y ciertamente no reutilizaría una contraseña. También tenga en cuenta que es posible (aunque admito que no lo sea) que alguien pueda fácilmente hacerse pasar por usted si quisiera.

No hay excusa para esto: incluso los sitios de alojamiento baratos generalmente ofrecen una opción compartida de SSL / TLS que es suficiente para detener a todos, excepto a los atacantes más decididos e ingeniosos.

Para la Actualización 2: elimine inmediatamente cualquier información de identificación personal y asegúrese de que no tiene datos financieros registrados. Si registró los detalles financieros, informe el sitio a su banco / compañía de tarjeta de crédito de inmediato, es probable que el sitio pierda su capacidad de venta.

Si reutilizó una dirección de correo electrónico, intente cambiarla lo más rápido posible. Muchos servicios de correo permiten [email protected] o lo que sea, por ejemplo. puede agregar un + algo después de su nombre, aunque no todas las funciones de registro aceptarán un símbolo más (aunque deberían hacerlo ya que es parte del RFC). Si no puede hacerlo, intente crear una cuenta de correo gratuita (por ejemplo, Gmail, Outlook.com, etc.) y utilícela en su lugar.

Si reutilizó una contraseña, cámbiela de inmediato en todos los demás sitios & active la autenticación de dos factores siempre que sea posible para ayudar a prevenir el robo de identidad.

Si compartió su ubicación física u otros datos personales, solo debe controlar la situación, después de eliminar los detalles, es muy improbable que alguien haya podido hacer algo, así que no se asuste, simplemente sea sensato. Además, incluso si solo comparte su ciudad o condado, tome nota si tiene un nombre inusual para su localidad. Tal vez piense de nuevo en compartir en ese caso.

Actualización 3: tener SSL en la página de entrada de inicio de sesión, las transacciones de inicio de sesión y cualquier página de perfil de usuario es el mínimo absoluto para un sitio que tiene un inicio de sesión. Por supuesto, también debe tenerlo en cualquier transacción segura y eso incluye cualquier interacción de sesión. Es muy fácil cometer un error de configuración. Además, es fácil terminar con otras páginas a lo largo del tiempo que deben protegerse. También hay algunos estándares que requieren que todas las interacciones sean sobre TLS. Así que pueden ver que es la mejor práctica, por mucho, hacer que todo TLS sea seguro y lo haya hecho con él.

    
respondido por el Julian Knight 26.12.2016 - 23:25
fuente
1

inyección de malware

Un riesgo separado de canales no seguros (como http) es que un atacante puede modificar los datos que recibe de una fuente en la que confía.

Sin https, un tercero puede hacer cualquier cosa que el propietario legítimo del sitio web pueda hacer por usted, pero razonablemente no lo haría (al menos no intencionalmente). Pueden modificar cualquier archivo ejecutable descargado para incluir malware. Pueden insertar código en la página web que explota una vulnerabilidad en su navegador, por ejemplo, su copia de un sitio web de noticias popular html puede contener un enlace a un objeto Adobe Flash adicional con un exploit y una carga útil dirigida.

    
respondido por el Peteris 27.12.2016 - 18:00
fuente
0

Al lado de las contraseñas (y otras informaciones sobre los clientes, como las tarjetas de crédito), ¿qué debe preocuparse por un sitio web sin https?

Desde el punto de vista del propietario del sitio web

  • Los anuncios pueden ser inyectados en páginas web

  • Si se maneja cualquier información personal, puede ser ilegal: en la mayoría de los países, existe una obligación de protección para dichos datos ( Leyes de protección de datos )

Desde el punto de vista de los visitantes

  • No puede ingresar ninguna información personal sin estar seguro de que no será interceptado y almacenado por un tercero malicioso.

  • Debes asumir que cualquier url que visites se registrará y se vinculará a tu dirección IP. Si ingresa un correo electrónico en cualquier momento (incluso en otro sitio web http), debe asumir que todo su historial de navegación puede estar vinculado a usted.

respondido por el Tom 27.12.2016 - 16:44
fuente

Lea otras preguntas en las etiquetas

¿Cómo funcionan los hacks APN? Generar un certificado .p12 que solo contiene el certificado raíz