Да, трафик HTTPS, включая пароли, зашифрован. Если веб-страница HTTP перенаправляет вас на HTTPS-сайт, где пароли проходят аутентификацию, то пароли не подвергаются риску ...
...Предполагая (э-э-э ...), что страница HTTP перенаправляет вас на HTTPS-сайт, который, по вашему мнению, есть.
И даже если страница HTTP перенаправляет вас на HTTPS-сайт, который, по вашему мнению, он делает, сегодня вы можете подвергаться постоянному риску того, что этого не произойдет, как вы думаете на следующей неделе. Так что, возможно, вы могли бы получить свои пароли тогда.
Посмотрите, как работает HTTPS, вот как это работает: ваш веб-браузер проверяет PKI и локальное хранилище сертификатов и доверяет сайту HTTPS. Тогда пароли зашифрованы, и у вас все хорошо.
Проблема с начальной страницей HTTP заключается в следующем: ваш веб-браузер не проверяет страницу HTTP. Таким образом, злоумышленник («атака« человек посередине ») может заметить ваш HTTP-трафик и отправить вам поддельную страницу входа. Поддельная страница входа в систему может сделать это: отправьте свои опубликованные пароли на вредоносный веб-сайт вместо HTTPS-сайта, который, по вашему мнению, вы используете. Этот вредоносный веб-сайт может захватить ваши пароли, а затем перенаправить вас на веб-сайт HTTPS, где ваши пароли будут опубликованы на законном веб-сайте HTTPS. Если все сделано очень хорошо, это может быть очень трудно обнаружить.
Таким образом, HTTP-коммуникация дает вам возможность легко подвергнуться атаке, и вам может быть трудно это заметить. Тем не менее, если HTTP-связь не нарушена, то когда вы отправляете пароли на правильный HTTPS-сайт, вы должны быть в безопасности с этого момента.
Это предполагает, что сайт HTTP предоставляет вам форму входа и отправляет опубликованные данные на сайт HTTPS. Если на HTTP-сайте вы отправляете данные на HTTP-адрес, а затем вы перенаправляетесь на HTTPS, то вы, вероятно, весьма уязвимы при прослушивании ваших паролей на этом этапе.
Хороший сайт просто обойдет все эти проблемы с помощью HTTPS; как только человек получит начальную страницу входа, если не раньше. (Другой метод, который начинает использоваться чаще, особенно если безопасность сайта действительно важна, перенаправляет весь HTTP-трафик на HTTPS в качестве самого первого шага, тем самым сводя к минимуму количество HTTP-коммуникаций.)
РЕДАКТИРОВАТЬ: Добавление ответов на дополнительные вопросы:
Может ли использование MAC OSX или iPad OSX снизить вероятность взлома?
Нет. Не за что. Это даже не похоже на теорию "Mac защищен от вирусов", что также не совсем верно. По крайней мере, это утверждение имело приличное обоснование: большинство вредоносных программ (на момент цитирования этой теории) часто предназначалось для Microsoft Windows.
Нет, скорее: описанные вами атаки имеют отношение к сетевому трафику. Если вы используете Mac OSX или iPad IOS, то я ожидаю, что вы будете использовать стандартные протоколы, такие как TCP/IP и Ethernet или Wi-Fi. Это те же стандартные протоколы, что и TCP/IP, Ethernet и Wi-Fi, которые внедряются на других платформах, таких как операционные системы Microsoft Windows и Linux. Таким образом, использование этих реализаций Apple не поможет, даже маленькому кусочку, защитить вас от перехвата сети.
Будет ли использование VPN сводить на нет шансы на взлом? Я использовал VPN ...
Да, это поможет. Может быть, недостаточно, но, вероятно, поможет.
Так что, если у вас есть компьютер дома, и вы используете VPN для отправки трафика через вашего интернет-провайдера в сеть в другом месте (например, где вы работаете или, может быть, в вашей школе?), Тогда кто-то может все еще перехватывать трафик по мере его поступления. это удаленное местоположение на нужный сайт. Тем не менее, ваш веб-трафик (как HTTP, так и HTTPS) должен быть довольно невосприимчивым к прослушиванию сети интернет-провайдером, поскольку он идет от вашего дома к другому концу VPN-туннеля. Так что это предлагает некоторую защиту.
Конечно, все это предполагает, что технология VPN реализована безопасно / правильно. При наличии уязвимостей любой из этих методов может дать сбой. Например, даже HTTPS-трафик не спасет вас достаточно, если ваш браузер принимает сертификаты, сделанные устройством в середине.
Возможно ли, что хакер создаст поддельную страницу входа?
Если этот трафик носит финансовый характер, то у хакеров есть немало стимулов для такой атаки.
В противном случае ... хм ... ну, похоже, я много читал в эти дни, что даже для менее важного / интересного трафика злоумышленники часто сканируют сетевой трафик и нарушают механизмы безопасности. Точный точный ответ может зависеть от того, насколько вы верите в теории о заговорах корпораций и правительства, но такое поведение определенно существует.
Будет ли служба веб-почты не знать об этом?
Да, поставщик веб-почты может не знать об этом.
Как бы я, введя адрес электронной почты, привел меня к фальшивому сайту?
Допустим, адрес электронной почты использует HTTP, а не через VPN. У меня есть компьютер, через который проходит сетевой трафик. (Помните, что Интернет предназначен для ретрансляции трафика через разные сети.) Я вижу, что ваш веб-браузер отправляет HTTP-запрос на http://my-favorite-paid-site.com. Прежде чем я передаю трафик на http://my-favorite-paid-site.com (если я даже затрудняюсь это сделать), я отправляю информацию в ваш веб-браузер. Ваш веб-браузер получает данные, которые, по его мнению, поступают с веб-сайта, но на самом деле получены от меня. Затем ваш веб-браузер показывает вам веб-сайт и утверждает, что эти данные поступили с веб-сайта. Однако это на самом деле пришло от меня.
Или вместо того, чтобы атаковать поток HTTP, я мог бы отправлять вам разные данные при отправке запроса DNS. Существуют различные типы атак, а также множество учебных пособий, книг и даже курсов для колледжей, которые более подробно освещают такие концепции. Просто найдите "MITM" (что означает "Человек посередине"), чтобы увидеть несколько различных способов реализации этого типа угроз.