เวกเตอร์การโจมตีสำหรับรหัสผ่านที่ส่งผ่าน http คืออะไร

ฉันพยายามโน้มน้าวให้ลูกค้าชำระค่า SSL สำหรับเว็บไซต์ที่ต้องมีการเข้าสู่ระบบ ฉันต้องการให้แน่ใจว่าฉันเข้าใจสถานการณ์ที่สำคัญที่ใครบางคนสามารถเห็นรหัสผ่านที่ถูกส่ง

ความเข้าใจของฉันคือที่ใด ๆ ของการกระโดดข้ามทางสามารถใช้ตัววิเคราะห์แพ็คเก็ตเพื่อดูสิ่งที่ถูกส่ง สิ่งนี้ดูเหมือนว่าต้องการให้แฮ็กเกอร์ใด ๆ (หรือมัลแวร์ / บ็อตเน็ต) อยู่ในซับเน็ตเดียวกันกับแพ็กเก็ตใด ๆ ที่แพ็คเก็ตใช้เพื่อไปถึงปลายทาง นั่นถูกต้องใช่ไหม?

สมมติว่ารสนิยมบางอย่างของความต้องการเครือข่ายย่อยนี้เป็นจริงฉันต้องกังวลเกี่ยวกับการกระโดดทั้งหมดหรือแค่อันแรก? คนแรกที่ฉันเห็นได้ชัดว่ากังวลว่าพวกเขาอยู่ในเครือข่าย Wifi สาธารณะเพราะใคร ๆ ก็สามารถฟังได้ ฉันควรเป็นกังวลว่าเกิดอะไรขึ้นในซับเน็ตที่แพ็กเก็ตจะเดินทางข้ามด้านนอกนี้ ฉันไม่รู้เกี่ยวกับทราฟฟิกเครือข่าย แต่ฉันคิดว่ามันไหลผ่านดาต้าเซ็นเตอร์ของผู้ให้บริการหลัก ๆ และไม่มีเวกเตอร์การโจมตีที่ฉ่ำอยู่ที่นั่นมากมาย แต่โปรดแก้ไขฉันหากฉันผิด

มีเวกเตอร์อื่น ๆ ที่น่าเป็นห่วงนอกคนที่กำลังฟังด้วยตัววิเคราะห์แพ็คเก็ตหรือไม่?

ฉันเป็นเครือข่ายและความปลอดภัย noob ดังนั้นโปรดตั้งตรงถ้าฉันใช้คำศัพท์ที่ผิดในสิ่งนี้

สิ่งที่ควรจดจำว่าคนอื่นไม่ได้กล่าวถึงคือเบราว์เซอร์บางตัวเก็บข้อมูลแคชในแบบฟอร์มของคุณ พฤติกรรมเริ่มต้นในเว็บไซต์ SSL มักจะไม่แคชอะไรนอกจากคุณจะเลือก "บันทึกรหัสผ่านของฉัน" โดยทั่วไปแล้วฟิลด์รหัสผ่านจะไม่แคช แต่ฉันได้เห็นสิ่งแปลก ๆ (โดยทั่วไปคือข้อมูลบัตรเครดิตซึ่งฉันรู้ว่าไม่ใช่หัวข้อของคำถาม)

อีกสิ่งที่ควรทราบคือการเข้ารหัส SSL เริ่มต้นที่ TCP handshake เมื่ออยู่ภายใต้ SSL คุณจะไม่สามารถแยกแยะความแตกต่าง HTTP ผ่าน SSL จาก FTP ผ่าน SSL (นอกเหนือจากข้อสมมติที่ทำผ่านหมายเลขพอร์ต)

คุณไม่สามารถแยกแยะคำขอเข้าสู่ระบบจากคำขอ "ฉันเพิ่งเรียกดู" ซึ่งทำให้แฮ็กเกอร์หน้าเว็บไหลจากแฮ็คเกอร์และจะทำให้แน่ใจว่าไม่เพียง แต่ข้อมูลรหัสผ่านของคุณจะปลอดภัย แต่ประวัติการเข้าชม / ข้อมูลคุกกี้ / และอื่น ๆ ข้อมูลส่วนบุคคลที่สอดคล้องกับบัญชีของคุณ

ทั้งหมดถ้าคุณกำจัดการจู่โจมแบบคนกลางจากสเปกตรัมคุณลดการโจมตีที่อาจเกิดขึ้นจำนวนมากนั่นไม่ได้หมายความว่าไซต์ของคุณปลอดภัย นโยบายการแบ่งเขตควรช่วยปกป้องคุณจากการโจมตี XSS เนื่องจากคุณจะทำการเปลี่ยนแปลงโซนหากผู้ใช้ของคุณถูกนำออกจากเว็บไซต์ของคุณอีกครั้ง

ข้อมูลมีความเสี่ยงทุกที่ตามเส้นทางไม่ใช่เฉพาะในระยะแรกหรือระยะสุดท้าย เป็นไปได้ว่าระบบที่เกี่ยวข้องในการถ่ายโอนค้นหาชื่อผู้ใช้รหัสผ่านและข้อมูลที่มีความละเอียดอ่อนอื่น ๆ ดังนั้นจึงเป็นไปได้ว่าข้อมูลที่ละเอียดอ่อนควรเดินทางผ่านลิงค์ที่ปลอดภัยตลอดเวลาและแน่นอนว่าเป็นสิ่งที่ SSL ต้องการ อาจมีกฎหมายท้องถิ่นที่กำหนด SSL ขึ้นอยู่กับว่ามีข้อมูลใดบ้างที่เกี่ยวข้อง

มีพร็อกซีเซิร์ฟเวอร์ซึ่งอาจจัดเก็บข้อมูล

แต่ก็มีภาระผูกพันที่จะต้องรักษารหัสผ่านของผู้ใช้ให้ปลอดภัย ผู้ใช้หลายคนใช้รหัสผ่านที่ จำกัด ดังนั้นไซต์ที่ไม่ปลอดภัยอาจส่งผลกระทบต่อรหัสผ่านโฮมแบงค์ของพวกเขา

การวิเคราะห์ของคุณนั้นสมเหตุสมผล IMHO

สิ่งที่ควรทราบฉันคิดว่าอาจมีแคชในเส้นทางของคุณ ดังนั้นอาจเป็นไปได้ว่าคำขอได้รับการบันทึกไว้ที่ใดที่หนึ่ง (โดยเฉพาะถ้าการลงชื่อเข้าใช้เกิน GET ซึ่งจะแย่มาก)

สิ่งที่ควรพิจารณาคือการเข้าถึงเครือข่ายส่วนใหญ่เกิดขึ้นในพื้นที่ที่มีผู้คนจำนวนมากบนเครือข่ายเดียวกัน Work / Uni / School เป็นตัวอย่างหลัก ที่บ้านคุณอาจเถียงว่ามันมีความเสี่ยงน้อยกว่าเพราะมันเป็นแค่ทางเดินขึ้นไปที่คุณต้องกังวล

แต่จริงๆแล้วไม่มีคำถามที่นี่ คุณใช้ SSL เมื่อเข้าสู่ระบบอาจเป็นข้อโต้แย้งที่น่าสนใจที่สุดสำหรับคนที่จะทำให้เว็บไซต์ของคุณน่าเชื่อถือมากขึ้นเช่น - นึกคิด - ประชาชนทั่วไปจะไม่เข้าสู่เว็บไซต์ที่ไม่มีหน้าจอเข้าสู่ระบบ SSL .

แต่ขอให้เป็นจริง เกือบจะแน่นอนเวกเตอร์การโจมตีนี้ไม่ใช่วิธีที่ระบบหรือผู้ใช้ของเขาจะถูกโจมตี

HTH

ฉันสามารถเห็นด้วยกับเพลงของเควินเอ็มที่มีต่อการตอบคำถามของเขาเองและจอห์นการ์ดิเยร์กำลังชี้ไปในทิศทางที่ถูกต้อง ฉันต้องเห็นด้วยกับสิ่งที่เนียนกล่าวว่า "ในอุดมคติ - ประชาชนทั่วไปจะไม่เข้าสู่เว็บไซต์ที่ไม่มีหน้าจอเข้าสู่ระบบ SSL" และชี้ให้เห็นว่านี่เป็นอย่างไรไม่ใช่กรณีร่วมสมัย เลย

ฉันไม่เห็นด้วยกับน้ำเสียงของเนียน (อาจไม่ได้ตั้งใจ) ซึ่งนำไปสู่การรับรู้ที่แพร่หลายว่า "ประชาชนทั่วไป" เป็นคนโง่ ไคลเอนต์ของ KevinM ไม่มีแนวความคิดที่ชัดเจนเกี่ยวกับความต้องการ SSL และนั่นคือบุคคลทั่วไปของคุณโดยสรุป พวกเขาไม่ได้โง่พวกเขาก็ไม่รู้ หากต้องการพูดว่า "คุณต้องการสิ่งนี้" จะเป็นการตอบโต้ที่ผิดกฎหมาย "ฉันมีชีวิตอยู่ x ปีโดยปราศจากมันและฉันจะมีชีวิตที่ดีขึ้นอีก x ดีกว่า" หรืออาจเป็นการตอบสนองที่แย่ลง "ฉันเกลียดการถูกบอกว่าต้องการ ." ดังนั้นระวัง!

ความกังวลของคุณนั้นถูกกฎหมายเควิน ลูกค้าของคุณต้องการใบรับรอง SSL ฉันคิดว่าความกังวลที่แท้จริงของคุณควรจะขายอย่างไร ไม่เพียง แต่การเข้าสู่ระบบของผู้ใช้ที่จะต้องกังวล แต่การเข้าสู่ระบบของผู้ดูแลระบบและผู้ให้บริการซึ่งจะได้รับประโยชน์จากการป้องกันด้วย SSL

ใช่มีสิ่งอื่น ๆ ที่จะต้องกังวลเกี่ยวกับในเรื่องนี้มากยิ่งขึ้นดังนั้นกว่าตดมเช่นXSS พวกเขากำลังจำนวนมากและเอกสารที่ดี

ในเส้นทางทั้งหมดตามด้วยแพ็กเก็ตหากผ่าน HTTP สามารถดมกลิ่นและข้อมูลสามารถมองเห็นได้ ... แม้ว่าคุณจะใช้ HTTP ในพร็อกซีเช่น TOR ... โดยใช้การเก็บเกี่ยวการโจมตี ฯลฯ ใครสามารถหลอกให้พร็อกซีรั่วข้อมูลแพ็กเก็ต ... ดังนั้นถ้ามีอะไรใกล้ไว (รหัสผ่านรายละเอียดส่วนตัวภาพส่วนตัว ฯลฯ ) ... มันเหมาะที่จะส่งผ่าน HTTPS เท่านั้น

แม้ว่า HTTPS นั้นมีความเสี่ยงต่อการใช้งานที่ไม่ถูกต้องและมีการโจมตี SSL หลายอย่างที่เกี่ยวข้อง ...

แต่การใช้ HTTP สำหรับข้อความธรรมดาก็เหมือนกับการเชิญแม้แต่เด็กที่เพิ่งหัดใหม่เพื่อดมรหัสผ่าน