Беспроводные уязвимости горячей точки на BBC Watchdog
Я смотрел программу на Би-би-си вчера вечером, которая выделила риски использования любой общедоступной беспроводной горячей точки.
http://www.guardian.co.uk/technology/2009/oct/29/wifi-watchdog-hotspot-security-vulnerable
У них были примеры угона someones сессия Gmail и получение некоторых почтовых имен пользователей и паролей. Я предположил бы, что они говорят о злоумышленнике, сидящем в беспроводной зоне и использующем анализатор пакетов для контроля незашифрованного трафика, и некоторые почтовые имена пользователей и пароли и веб-трафик транспортируются незашифрованные. Путем они говорили, это было, как будто они могли также угнать someones сессию, я принимаю путем чтения передаваемых cookie и затем использующий их для вскакивания на их сессию.
Однако я был очень смущен по этому, поскольку самые важные сайты используют SSL, и Gmail определенно работает по HTTPS. Поэтому весь трафик между браузером и веб-сервером (включая что-либо широковещательно передаваемое по локальной сети общего пользования) был бы зашифрован и нечитабелен.
Я корректен в размышлении, что Вы только находитесь в опасности при использовании чего-нибудь, что это не использует HTTPS & SSL? Если это так, и кажется вероятным, что это, затем тот материал довольно очевиден, и программа была, вероятно, нацелена на меньшее количество технически подкованных людей, чем я.
Мне очень было бы интересно, как они вошли в чей-то Gmail, хотя, относительно моего понимания, которое полностью безопасно!
Удачи,
Mike
3 ответа
SSL Gmail может быть выключен. Это имеет преимущества и недостатки. Причем безопасность является основным беспокойством.
Кроме того, SSL не безошибочен. Это достаточно безопасно на данный момент, но это больше не небьющаяся крепость шифрования, которым это когда-то казалось.
-
1Интересный, у Вас есть какие-либо ссылки для получения информации о текущем состоянии SSL и насколько безопасный это? Вся информация я могу найти при поиске с помощью Google довольно древних взглядов! – Michael Waterfall 30.10.2009, 18:28
-
2blogs.computerworld.com/ssl_cert_hash_hacked_on_ps3_farm является одним примером. Это не "о нет, Интернет больше не безопасен", но это вызывает беспокойство. – Phoshi 30.10.2009, 19:16
Много людей использует тот же пароль для нескольких учетных записей/сайтов. Захватите тот, который идет через незашифрованный, и попробуйте его как пароль для зашифрованного сайта. Разногласия довольно высоки, это - правильное.
Я был наполовину слушанием Сторожевого таймера вчера вечером, не может сказать, что я не забываю видеть что-либо, чтобы предположить, что они попробовали следующее, но это могло быть возможно:
Кто-то мог сидеть в HotSpot с оборудованием для создания "поддельной" Точки беспроводного доступа в заднем пакете (читающий Блог Scott Hanselman, предполагает, что Вам, возможно, только понадобится Windows 7 Laptop, настроенный правильно), эта точка беспроводного доступа могла использоваться для выполнения Атаки "человек посередине", представляющей поддельную версию Gmail или любого другого сервиса. Этому должен мешать SSL, однако, если бы пользователь не учел предупреждения или использовал более старый браузер, который использовал запутывающую терминологию, они не могут заметить, что Сертификат был недопустим.
-
1Хм это интересно также, не думал о поддельной точке доступа, подающей поддельные веб-сайты. Я предполагаю, что путь вокруг этого состоял бы в том, чтобы гарантировать, чтобы Вы соединились с корректной беспроводной сетью! – Michael Waterfall 31.10.2009, 11:23