HTTP: análisis de debilidades y actitud [cerrado]

Navega tus respuestas
-3

Muchas preguntas sobre este tema por aquí, pero no encontraron este ángulo en particular

Antecedentes: enviar cualquier información de valor con HTTP y mediante HTTPS es una mala idea (en el caso poco frecuente, un sitio web respetado le dará esa opción). El ubicuo establecimiento de SSL desafortunadamente ha sido un poco lento, a mi entender, debido a los altos precios y el desorden con los certificados de los administradores de sitios web con experiencia media / baja. (tal vez iniciativas como esta acelerarán eso, aunque? enlace )

Pregunta: Pero cuán inseguro es realmente el uso de HTTP para, por ejemplo, su blog personal de Wordpress "no tan importante", si es consciente de que sus contraseñas fluyen sin cifrar y, por lo tanto, solo tienen acceso confidencial. ¿Partes en redes seguras conocidas (p. ej., el wifi WP2-SPK de confianza de su hogar)? (sentado en un wifi / LAN "público" (criptado o no) en el que no confía en el punto de acceso y / o los otros usuarios conectados es una historia de seguridad propia, excluya que el usuario no tenga conocimiento del riesgo de seguridad básico en este caso )

Al estar seguro de que no hay nadie que te espíe entre tu computadora y el enrutador, ¿qué tan seguro puedes estimar que tus datos están a través de HTTP? No he entendido qué es lo que podría suceder en el camino entre su enrutador y el servidor, incluso si protege "su final", ¿qué cosas podrían suceder en el largo viaje por la web al servidor?

¿Es su blog de hobby en HTTP "suficientemente bueno" (considerando que generalmente es bueno para usar contraseñas únicas, etc.), o debería usarse una VPN en todo momento en los casos de contraseña + HTTP?

    
pregunta Cander 23.03.2016 - 12:54
fuente

2 respuestas

2

Es posible que un atacante tenga la capacidad de ver una red más amplia o internet: alguien en su ISP o en el centro de datos donde se encuentra su servidor. Varios gobiernos tienen esta capacidad; por lo general, se espera que eliminen las credenciales a la vista y no las guarden o utilicen a menos que sea parte de una investigación activa, pero esto probablemente no sea cierto.

¿Confía en cada dispositivo en su red local? Hay casos de por ej. televisores inteligentes enviando a casa los nombres de todos los archivos compartidos en la red local : no es tan difícil imaginar que un dispositivo de Internet de las Cosas sin escrúpulos o comprometido vea datos transmitidos a través de la red local.

La verdadera pregunta es "¿qué puede pasar si alguien ¿ obtiene su contraseña?". Si el blog tiene pocos usuarios y la contraseña no se usa en otros lugares, probablemente no sea el fin del mundo, solo la página de su blog recibe malware / nuevos anuncios. Pero si usa la contraseña y el correo electrónico en otro lugar, todas esas cuentas pueden verse comprometidas.

    
respondido por el Someone Somewhere 23.03.2016 - 13:19
fuente
0

Creo que esta pregunta es muy amplia y no se puede responder completamente. Pero trato de resaltar algunos aspectos que deberían ser evaluados por el OP:

  • HTTPS protege solo el transporte de datos cifrando los datos. Especialmente, no protege el sitio web en sí mismo y no implica que se pueda confiar en el sitio de ninguna manera.
  • HTTPS le da al usuario un poco más de privacidad al ocultar parcialmente a qué datos se accede. Solo oculta el contenido y la URL completa, pero no oculta a qué host accede el usuario. Además, el patrón de tráfico a menudo se puede usar fácilmente para averiguar a qué partes del sitio se accedió. Esto significa que incluso con la detección pasiva se puede obtener mucha información sobre el comportamiento de los usuarios, pero es más difícil que simplemente detectar conexiones simples.
  • HTTPS protege contra la manipulación del tráfico. Esto significa que ningún atacante activo puede modificar el tráfico. Dicha modificación de tráfico también es realizada por algunos ISP para monetizar el tráfico (es decir, inyectar anuncios). Pero tenga en cuenta que HTTPS no protege contra las modificaciones realizadas en el lado del cliente o mediante el uso de proxies "confiables" como Superfish .
  • HTTPS protege contra la falsificación de DNS o ataques similares y, por lo tanto, también ayuda en caso de un enrutador comprometido con una configuración de DNS modificada malintencionadamente.
  • HTTPS tiene algunos efectos negativos en el rendimiento, principalmente debido a los mayores costos en la configuración de la conexión. Esto se puede mitigar parcialmente con la reutilización de la sesión TLS, las conexiones keep-alive y HTTP / 2.

Al final, los HTTPS a menudo, pero no siempre, se pueden configurar de forma sencilla y económica en el lado del servidor. La sobrecarga agregada no importa mucho en la mayoría de los casos, especialmente para un blog personal. Tiene algunas ventajas para el usuario, incluso si no transfiere datos confidenciales, como mayor privacidad (pero no completa) y protección contra la manipulación del tráfico por parte del ISP. Y como obviamente ofrece ventajas para costos moderados, sería bueno ofrecerlo incluso para sitios con datos no confidenciales (para datos confidenciales es una necesidad de todos modos). Pero no es la tecnología súper segura y de preservación de la privacidad que algunos afirman.

    
respondido por el Steffen Ullrich 23.03.2016 - 13:31
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo verificar si alguien manipuló las imágenes o el sistema de CCTV? ¿Qué significa asegurar algo en la seguridad de la computadora? [cerrado]