¿Formulario de página web sin SSL / TLS para contraseñas? ¿Preocupaciones de seguridad?

Navega tus respuestas
0

Por lo tanto, estoy usando Zenfolio y noté que su función de páginas protegidas por contraseña no utiliza SSL / TLS del lado del cliente cuando le solicito a un visitante que ingrese la contraseña para visitar la página / galería.

¿Debería preocuparme por esto? Nada de lo que se protege con contraseña es confidencial, solo quiero mantener algunas cosas fuera de la vista del público si es posible (pero no es como si alguien tuviera en las fotos que podrían hacer mucho con ellos de todos modos). ¿Debería preocuparme que no haya SSL / TLS del lado del cliente o no?

Mi navegador Chrome me advierte que el contenido ingresado en la página (es decir, la contraseña) no está cifrado. Por mi conocimiento de la seguridad, creo que esto debería ser una conexión segura a través de SSL / TLS, y el "candado" debería aparecer en el navegador como resultado.

¿Qué tan preocupante es esto?

    
pregunta cbassett 23.05.2017 - 19:57
fuente

2 respuestas

1

No estoy del todo claro si eres el usuario o el administrador, así que responderé por ambos.

Como administrador: lo considero una gran preocupación, principalmente debido a la reutilización de la contraseña: la gente usará la misma contraseña que Facebook y su banco, y luego se enojará cuando le roben la información de su cuenta. Yo sugeriría utilizar un servicio como Let's Encrypt para obtener certificados gratuitos.

Pero como usuario, no es realmente un gran problema: simplemente use una contraseña desechable para el sitio y recuerde que cualquier material es rastreable y que no tiene garantía de confidencialidad o integridad.

    
respondido por el Ron Bowes 23.05.2017 - 20:15
fuente
0

Hay dos cosas que TLS / SSL te ofrece: privacidad y autenticación.

Privacidad. A través de un canal no SSL, su contraseña no será privada, ni tampoco el contenido que envíe al sitio. Así que asegúrate de que nada de eso sea valioso.

Autenticación . A través de un canal que no es SSL, puede solicitar una página de www.MyArtSite.com pero obtener contenido servido desde www.HackersDelight.com . Si el sitio es malicioso, podría intentar explotar su navegador para hacer algo nefarius, por ejemplo. descargar malware, ejecutar ataques contra otros sitios, etc.

Si quieres estar muy seguro,

  1. Use una contraseña que no use en ningún otro lugar
  2. Solo cargue contenido que no le cause problemas si se hiciera público
  3. Use una sesión privada / de incógnito para que su navegador no contenga cookies persistentes de otros sitios. Esto lo protegerá de CSRF .
  4. Como siempre, asegúrese de que su O / S y su antivirus estén actualizados y parcheados.
respondido por el John Wu 22.06.2017 - 21:56
fuente

Lea otras preguntas en las etiquetas

Las mejores opciones para la inspección SSL mientras se mantiene el perfecto secreto hacia adelante Amazon AWS Kali - Metasploit