При использовании незащищенной сети HTTPS не обеспечивает защиты от хорошо осведомленного злоумышленника, особенно для веб-сайтов, использующих как HTTP, так и HTTPS.
Вот один пример: когда вы вводите facebook.com в адресную строку, вы фактически запускаете HTTP-соединение. Затем сайт перенаправляет вас на страницу HTTPS. Однако злоумышленник, который находится между вами и facebook.com, может изменить это перенаправление HTTPS на перенаправление HTTP и украсть ваши пароли или даже внедрить вредоносное ПО в ответ веб-сайта и заразить ваш компьютер.
Чтобы избежать такой ситуации, введите https://www.facebook.com
вместо facebook.com
. Еще одна вещь, которую вы можете сделать, это сохранить страницу HTTPS на facebook.com в закладки и использовать ее вместо набора текста.
Использование браузера для проверки учетных данных сайта является очень хорошим тестом, но многие популярные сайты в последнее время видели, что их учетные данные были украдены или подделаны.
Хакеры также могут использовать учетные данные для названий веб-сайтов, которые очень похожи на имена веб-сайтов, к которым каждый пытается добраться, что случайная проверка не обнаружит.
Даже чистый HTTPS-трафик может быть атакован и взломан.
За последние несколько лет был представлен целый пантеон хаков с такими именами, как CRIME, BEAST, Lucky 13, SSLStrip и BREACH.
Используя метод оракула, злоумышленники могут использовать сжатие, чтобы получить важные подсказки о содержимом зашифрованного сообщения. Это связано с тем, что многие формы шифрования, в том числе те, которые встречаются в HTTPS, практически ничего не делают, чтобы не дать злоумышленникам увидеть размер зашифрованной полезной нагрузки. Методы сжатия оракула особенно эффективны при обнаружении небольших фрагментов текста в зашифрованном потоке данных, таких как пароли (!).
Важно понимать, что злоумышленнику нужно только наблюдать за HTTPS-пакетами, когда они проходят через сеть, что он может легко сделать в незащищенной сети, установив сниффер.
Хотя ни одна из этих атак не подорвала безопасность, обеспечиваемую HTTPS, они подчеркивают хрупкость двухлетних протоколов SSL и TLS и даже программных библиотек, используемых для шифрования HTTPS.
Использование VPN обеспечивает лучшую защиту, но пока злоумышленник может наблюдать за трафиком, проходящим между вашим компьютером и сетью, вы не совсем защищены.
Хотя каждая из мер, которые я изложил выше, повышает безопасность, нет гарантии защиты от злоумышленника, который достаточно изобретателен или даже может использовать пока неизвестный метод атаки.
Эксперты по безопасности и браузеры всегда на шаг отстают от хакеров.
Рекомендуется не вводить конфиденциальную информацию, такую как пароли, в незащищенной сети. Даже когда учетные данные передаются в виде файлов cookie, как в случае, когда веб-сайт предлагает вариант "запоминания" входа в систему, злоумышленник, который перехватывает сетевое сообщение, может легко извлечь эти файлы cookie.
Дополнительным средством Firefox Perspectives является один из инструментов, который может обнаружить, когда HTTPS перехвачен и вовремя не позволяет вам ввести свои учетные данные.
Однако он не может защитить от расшифровки HTTPS с помощью сниффера.
Перспективы описывается как:
Перспективы - это новый, децентрализованный подход к безопасной идентификации интернет-серверов. Он автоматически создает базу данных серверных идентификаторов, используя облегченные исследования "сетевых нотариусов" - серверов, расположенных в разных точках обзора через Интернет. Каждый раз, когда вы подключаетесь к безопасному веб-сайту, Perspectives сравнивает сертификат сайта с данными нотариуса сети и предупреждает о несоответствии. Таким образом, вы узнаете, следует ли доверять сертификату! Использование перспектив предотвращает атаки типа "человек посередине", позволяет использовать самозаверяющие сертификаты и помогает верить, что ваши соединения действительно безопасны.