¿Puede alguien escanear un sitio web desde una dirección remota y robar la información de inicio de sesión de los usuarios?

No pueden interceptar su tráfico a menos que estén en una posición de adyacencia a cualquier sistema en la cadena de enrutamiento.

Cuando un cliente se conecta por primera vez a un servidor, el paquete pasará de su computadora a su enrutador, que luego lo pasa al servidor de enrutamiento local del ISP, que luego lo pasa por una red troncal (a través de un conjunto de otros enrutadores grandes). ) y, finalmente, al enrutador local del ISP del servidor, a través de la infraestructura de red del centro de datos y, finalmente, al servidor real. En total, puede haber más de 40 enrutadores involucrados, si está enrutando en todo el mundo. Si alguno de estos está comprometido, un atacante podría detectar el tráfico.

Sin embargo, sus principales escenarios de riesgo son:

1. La computadora del usuario está comprometida.
2. La red del usuario está comprometida.
3. La red del servidor está comprometida.
4. El servidor está comprometido.

En el escenario # 1, no puedes hacer nada para evitar el problema. Su sistema está comprometido y sus credenciales pueden ser robadas. Puedes ayudar a mitigar el problema pidiendo 3 caracteres de una palabra secreta cada vez que inicien sesión, pero un malware decente simplemente robará el ID de sesión o algo similar.

En el escenario # 2, un atacante puede poner su adaptador de red en modo promiscuo , lo que les permite detectar el tráfico en la red. Si no usa SSL, este tráfico se puede leer, manipular, etc. Proteger a los usuarios de este escenario es la razón principal para usar SSL.

En el escenario # 3, ocurre un problema similar, pero está en la red del servidor. Los requisitos para un ataque exitoso aquí se basan en gran medida en el diseño y la configuración de la red, ya que la posición del sistema comprometido en la red es fundamental en términos de si el ataque será exitoso. Un cambio entre su sistema y el tuyo podría evitar la inhalación promiscua. Es bastante difícil saber si está ocurriendo o no este tipo de ataque (no es su red, es la empresa de alojamiento), por lo que SSL es una buena protección aquí.

En el escenario # 4, estás jodido de nuevo. Su servidor está comprometido y ninguna seguridad de transporte lo salvará.

Hay un quinto escenario, en el que un proveedor de ISP o red troncal (por ejemplo, Level3) está registrando y rastreando activamente el tráfico en su red. Si te importa esto, SSL puede ayudar. Si está preocupado por los actores estatales (por ejemplo, la NSA, con PRISM), entonces SSL realmente no lo ayudará, ya que pueden usar las garantías para obtener la clave privada del servidor y descifrar todo el tráfico.

El caso más obvio es este: su usuario está usando su teléfono móvil (o una computadora portátil) en Starbucks o en cualquier otro WiFi público para iniciar sesión en su sitio. Cualquier otra persona en la misma red WiFi pública puede escuchar a su usuario conectarse con su sitio web y detectar el tráfico y, por lo tanto, capturar las credenciales de inicio de sesión. Si no eres un sitio popular, probablemente a nadie le importará robar estos inicios de sesión sin valor. Si su sitio es Facebook o incluso un foro popular, a la gente le importará y venderá estos inicios de sesión. Hay muchos lugares públicos donde se captura todo el tráfico todo el tiempo, se analizan automáticamente para los inicios de sesión y se encuentran las credenciales de inicio de sesión vendidas en foros clandestinos. Así que sí, si tienes un sitio público que usa inicios de sesión, usa SSL.