了解使用非SSL登录表单的风险
收藏

作为Web应用程序的用户,我倾向于仅注册使用SSL安全登录表单的服务。作为开发人员,我知道存在非SSL格式以纯文本格式传输的风险,不道德的个人可以“嗅探” HTTP流量并确定我的登录名和密码。

但是,如果我在家中通过DSL或电缆互联网连接,发生这种情况的真正风险或可能性是什么?数据包嗅探器需要在哪里运行?可以在任何时候将数据包嗅探回服务器吗?与在家中相比,在具有较大LAN的公司网络中“嗅探数据包”是否更容易?

我已经开发Web应用程序一段时间了,但是我从来没有真正理解过这一点。我希望对此有所澄清。

谢谢。

最佳答案

在您的ISP和目标之间的节点上嗅探流量的风险是远程的。您将是数百万个用户中的一员,并且在该级别上要花费大量的处理能力才能执行数据包检查以识别携带登录信息的数据包。

正如已经指出的那样,真正的风险在于本地网络。两种最常见的方案是:

  1. 受感染的计算机或恶意用户会使用ARP中毒之类的技巧来嗅探所有未加密的流量。在低流量的网络上,ARP中毒是相当不明显的。在高流量的网络上,这将导致性能显着下降,并且检测的可能性增加。勤奋的网络分区可能会降低ARP中毒的有效性。
  2. 有人控制了网关。这可能是最糟糕的情况,因为所有Internet通信都通过网关。根据攻击者的聪明程度,这可能很难检测到。

SSL可以防止嗅探,它还有另一个您可能不知道的优点:SSL允许您确保接收密码和其他详细信息的实体就是您认为的那个人。

如果说您是DNS中毒的受害者,有人将您重定向到看起来与合法网站完全相同的恶意网站,您将无从得知。使用SSL,您会收到警告/错误消息,提示该站点没有有效的证书,从而提醒您所有内容均不正确。

我个人会根据信息是否通过HTTPS来调整密码。我这样做是因为不可避免的是,最终我将需要在不受信任的网络上通过HTTP登录。

    公众号
    关注公众号订阅更多技术干货!