¿Cosas malas acerca de no tener cifrado SSL? [duplicar]

Navega tus respuestas
5

Así que estaba leyendo algunos comentarios en un foro popular sobre el cifrado SSL y cómo algunos sitios web pasan los datos de su formulario de inicio de sesión como texto simple y no usan SSL o TLS. Entiendo que el uso de un método de cifrado permite que los datos se transfieran al servidor de forma segura y evita que un tercero lo escuche, y luego permite el descifrado en el lado del servidor.

Pero digamos que no hay un tercero que esté olfateando los paquetes. ¿Hay algún beneficio al usar SSL en ese caso? ¿O es el único propósito de SSL de cifrar paquetes para detener a los sniffers?

Gracias de antemano.

    
pregunta BubbleMonster 02.05.2014 - 18:59
fuente

3 respuestas

6

Bueno, SSL / TLS o el cifrado en general es mucho sobre la protección de datos confidenciales o la autenticidad de estos datos. Si no tiene datos confidenciales para proteger porque, por ejemplo, es información pública, no necesita cifrado.

El cifrado agrega una capa de complejidad adicional y tiene un impacto potencialmente negativo en el rendimiento. Entonces, si no lo necesita, simplemente no debe usarlo, es muy simple.

Editar: en Internet siempre hay una tercera parte potencialmente sniffing, por concepto.

    
respondido por el binaryanomaly 02.05.2014 - 19:08
fuente
16

Bueno, sí, si vives en Care Bears Wonderland , entonces no puede pasar nada malo. Desafortunadamente, en lo que se conoce coloquialmente y pomposamente como el Mundo Real ™, hay gente mala. Los malvados Individuos malvados que les gusta espiar y escuchar a escondidas y alterar los paquetes de datos agradables.

SSL (ahora conocido como TLS ) aplica cifrado para evitar el espionaje, verificaciones de integridad para detectar alteraciones de manera confiable y autenticación para Prevenir la suplantación. La parte de cifrado es solo contra el espionaje.

Si todos sus datos son públicos, entonces realmente no necesita cifrado, pero es posible que aún desee las otras características de SSL, para que los usuarios sepan que se están conectando al sitio original, y que las páginas y los documentos que contienen. obtener desde el sitio no han sido alterados en tránsito.

    
respondido por el Tom Leek 02.05.2014 - 19:11
fuente
6

SSL tiene dos partes importantes:

  • El cifrado, para que nadie pueda oler o, peor aún, modificar los datos en tránsito.
  • La autenticación, por ejemplo, el cliente puede estar seguro de con quién está hablando (y, a veces, también el servidor requiere autenticación del cliente). Si hay, por ejemplo, un ataque de suplantación de DNS, el cliente puede detectar, si está hablando con el servidor incorrecto.

El cifrado sin autenticación es inútil, porque entonces no puede detectar un intermediario (por ejemplo, ningún cifrado de extremo a extremo, pero sí un cifrado de extremo a extremo de mallory y mallory-to-end). La autenticación sin cifrado puede tener sentido, pero generalmente no se usa.

    
respondido por el Steffen Ullrich 02.05.2014 - 20:09
fuente

Lea otras preguntas en las etiquetas

¿Qué tan inseguro ... realmente ... es FTP? ¿Por qué el hash MD5 comienza desde $ 1 $ y SHA-512 desde $ 6 $? ¿No es debilidad en sí misma? [duplicar]