Cześć pisałem artykuł jednak stał się on zbyt długi i tu przerzuciłem część treści.
Artykułu jeszcze nie uporządkowałem.
Czy nieszyfrowane strony HTTP są niebezpieczne?
HTTPS – szyfrowane strony
Strony obsługujące logowanie od dawna powinne być szyfrowane – używać https!
W przypadku komunikacji https – przestępca nie może zobaczyć co przesyłasz (jakie podałeś np. hasło).
Kiedyś właściciel strony musiał zapłacić za certyfikat który pozwalał szyfrować stronę.
Jedna od lat można robić to za darmo dzięki inicjatywom takim jak https://letsencrypt.org/.
Dodatkowo google nieprzychylnie patrzy na strony bez https. Dlatego naprawdę wiele stron szyfruje komunikację, bo gdy google jest zadowolone, to strona wyświetla się wyżej w wyszukiwarce!
Dlatego o facebooka, maila a w szczególności konto bankowe – nie bałbym się! Takie strony i tak są szyfrowane.
Gdy wchodzisz na stronę z https i widzisz:
HTTPS everywhere
Domyślnie gdy wpisujesz w pasku adresu np. „starthere.pl”, to twoja przeglądarka domyślnie zakłada, że stronę należy pobrać przy pomocy nieszyfrowanego protokołu HTTP (czyli ktoś może podmienić Ci stronę).
Gdy przeglądarka połączy się z danym serwerem może być poproszona by połączyć się przez https (jeśli administrator ustawił tzw przekierowanie z http na https). W takiej sytuacji znajdziesz się nie na stronie http://starthere.pl tylko na jej wersji szyfrowanej https://starthere.pl.
Jeśli jednak nie administrator nie doda przekierowania do konfiguracji serwera. To pozostaniesz na stronie http://starthere.pl (nieszyfrowana!).
Jeśli wpiszesz w pasku adresu: https://starthere.pl (to przeglądarka od razu połaczy się w sposób szyfrowany, nie próbując niebezpiecznego http).
By wymusić połączenia https – możesz użyć dodatku do przeglądarki HTTPS Everywhere (dla chrome i jego podobnych, firefox itd).
Jako ciekawostkę dodam, że twórcy stron (administratorzy serwera) mogą zaznaczyć, że daną stronę można odwiedzać tylko przy pomocy szyfrowanego protokołu https. Gdy przeglądarka się o tym dowie, to odmówi wszelkich połączeń po http (przez określony czas).
HTTP Strict Transport Security (HSTS) – mechanizm bezpieczeństwa sieci, który chroni strony przed atakami takimi, jak wymuszone zmniejszenie poziomu protokołu oraz przechwytywanie sesji. Dzięki niemu do serwerów można połączyć się tylko za pomocą przeglądarek, korzystających z bezpiecznych połączeń HTTPS[a], natomiast nigdy nie dopuszcza on połączeń na bazie niezabezpieczonego protokołu HTTP.
https://pl.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Kradzież przez przechwycenie
Ktoś może ukraść twoje dane w chwili gdy je przesyłasz.
Sam lata temu bawiłem się Wiresharkiem – programem pozwalającym podejrzeć jakie dane są wysyłane/pobierane w naszej sieci.
Jeśli komunikacja nie jest szyfrowana np. http / ftp – to hasła można naprawdę łatwo i szybko przechwycić.
Twoje dane ktoś może ukraść! Konsekwencje mogą być tragiczne! (np. ktoś może wziąć na ciebie kredyt). Dane ktoś może ukraść od Ciebie, w trakcie przesyłania lub z serwisu. Czy wiesz jak się zabezpieczyć?
Man in the middle – atak kryptologiczny polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy.
https://pl.wikipedia.org/wiki/Atak_man_in_the_middle
Dla przypomnienia.
W przypadku połączenia VPN – dane są szyfrowane do serwera VPN.
Tam zostają odszyfrowane.
Jeśli dane które przesyłasz nie są dodatkowo szyfrowane (używasz np. HTTP zamiast HTTPS).
To „zły” serwer VPN może modyfikować przesyłane dane!!
Brzmi nie realnie?
Jeden ze znanych/popularnych VPNów swego czasu dodawał w ten sposób reklamy do stron które odwiedzałeś (nie pamiętam jaki, zaktualizuję jak sobie przypomnę :).
Zabawne, że nawet duży amerykański operator AT&T pozwalał sobie na takie rzeczy.
Firma została przyłapana na zmienianiu treści stron które odwiedza użytkownik. Dokładniej dodawali reklamy (info)!
Pamiętaj jednak że jeśli połączenie jest szyfrowane (wchodzisz na stronę z HTTPS a nie HTTP), to nikt zmieni twojej strony!
Dlatego spokojnie – nikt nie zmieni ci numeru konta bankowego w czasie realizacji przelewu.
Strony banków zawsze są szyfrowane.
A współcześnie naprawdę wiele stron jest szyfrowana.
Niestety przeglądarka najpierw próbuje wersję nieszyfrowaną.
Jeśli serwis jest odpowiednio ustawiony to zobaczysz niebezpieczną stronę HTTP.
Gdybyś wszedł na stronę HTTPS – mógłbyś czuć się bezpiecznie!
Nie tylko podglądanie!
Problem braku szyfrowania nie polega tylko na tym, że ktoś może podejrzeć co robimy.
Problem w tym, że w przypadku komunikacji nieszyfrowanej np. http (https bez „s” na końcu) – ktoś może zmienić treści które widzisz!
Twoje strony może modyfikować:
- „haker” w twojej sieci,
- złośliwe oprogramowanie
Uwaga, niektóre darmowe VPNy np. dodawały reklamy do stron które odwiedzasz!