¿Qué vulnerabilidades existen para un sitio web que no usa SSL para una página de inicio de sesión (o cualquier página)?

SSL / TLS proporciona confidencialidad, integridad y confianza. La confianza es la más importante, y le da al cliente la seguridad de que realmente se están comunicando con la persona que pensaban que eran. En caso de SSL / TLS; sin confianza no tiene sentido cifrar los datos. Cualquiera puede pasar como la parte deseada, y usted no podría verificar esto.

La otra manera tampoco funciona, y permite que un atacante escuche y cambie los datos. Internet es solo un grupo de redes conectadas entre sí, y como en el mejor de los casos solo puede proteger su LAN, considero que Internet es un canal inseguro. La intercepción de redes no es ciencia ficción, y ocurre a gran escala (su ISP, proveedor de telecomunicaciones, gobiernos, etc.) sin dirigirse a usted de manera específica.

  

Personalmente lo encuentro poco probable y me pregunto qué tan grave es esta vulnerabilidad en estos días.

Lo contrario es cierto. En los últimos años, la demanda de comunicaciones seguras nunca ha sido tan alta, y esto no es una paranoia. Usted realmente debería preocuparse por SSL / TLS y utilizarlos siempre que sea posible. Cualquier cosa que envíe datos personales de ida y vuelta debería utilizar SSL / TLS, aunque lamentablemente este no es el caso. Pero, si va a configurar un entorno seguro SSL / TLS, hágalo de la manera correcta. Se ha argumentado que las implementaciones de SSL incorrectas pueden causar más daño que hacer el bien. En seguridad de la información no existe tal cosa como hacerlo half .

Si el sitio no está cifrado, un atacante activo que es la conexión Man-In-The-Middling (que es relativamente simple de hacer en una wifi pública) solo puede quitar las cookies de inicio de sesión de su solicitud, para que el usuario piense que, por alguna razón, se han desconectado del sitio. El usuario casi seguro volverá a iniciar sesión, lo que permitirá al atacante capturar el nombre de usuario y la contraseña. Debido a que la reutilización de la contraseña es tan común, para muchas personas esto también le daría al atacante acceso a sus cuentas en otros sitios web, algunos de los cuales pueden ser más valiosos para el atacante.

Incluso si el usuario no inicia sesión en el sitio web mientras está siendo monitoreado, sus cookies de sesión seguirán siendo transmitidas en texto sin formato, lo que permitiría al atacante simplemente configurar esas cookies en su propio navegador, y se registrarán en su sitio web. Firesheep es una herramienta que te permite hacer esto fácilmente. Esto no le da al atacante acceso a la contraseña del usuario, pero aún tienen acceso completo a la cuenta.

En cuanto a otros problemas que surgirían por no usar HTTPS, depende del sitio web. El atacante puede modificar todo el tráfico hacia y desde el servidor, por lo que un atacante puede aprovechar la confianza que el usuario tiene en su sitio para hacer que revelen más información o para descargar malware. El atacante también podría inyectar exploits en la página para atacar el navegador del usuario u otro software en su computadora.

Las conexiones seguras también protegen contra los ISP que interceptan y modifican el tráfico - Comcast inyecta anuncios en sitios web , y AT & T rastrea los hábitos de navegación de los usuarios

Además de la seguridad, el uso de HTTPS también le permite usar funciones adicionales del navegador que no están disponibles a través de HTTP:

• En todos los navegadores, HTTP / 2 solo está disponible a través de una conexión cifrada, y puede tener considerables ventajas de rendimiento en comparación con HTTP / 1.1.
• En todos los navegadores, los Trabajadores Web (scripts de fondo que le permiten brindar una experiencia más cercana a una aplicación nativa (soporte fuera de línea, notificaciones push, etc.) solo están disponibles si la página se cargó a través de HTTPS.
• En Chrome, la API de geolocalización ahora se ha eliminado para los sitios inseguros, y es probable que otros navegadores los sigan.
• En todos los navegadores, ciertas características nuevas que se consideran confidenciales, como ciertas capacidades de hardware, solo estarán disponibles en las páginas cargadas a través de HTTPS.

Incluso si su sitio no se beneficiaría de ninguna de esas características (aunque no se beneficia de la velocidad de HTTP / 2 es un caso difícil para argumentar IMO), la implementación de HTTPS es gratuita utilizando un servicio como Let's Encrypt , y no es demasiado difícil de configurar (hay muchas guías en línea), por lo que no hay muchas razones para no usarlo.