SSL以外のログインフォームのリスクを理解する

Question

Webアプリケーションのユーザーとして、SSLで保護されたログインフォームを使用するサービスにのみ登録する傾向があります。開発者としては、非SSLフォームがプレーンテキストで送信され、悪意のある人がHTTPトラフィックを「スニッフィング」してログインとパスワードを確認するというリスクがあると私は知っています。

しかし、自宅でDSLまたはケーブルのインターネット接続を使用していると、このような事態が発生する可能性はどれほどありますか？パケットスニファはどこで動作する必要がありますか？パケットはいつでもサーバにスニッフィングできますか？自宅にいるのではなく、より大きなLANを持つ企業ネットワークで「パケットをスニッフィングする」方が簡単ですか？

私はかなり長い間Webアプリケーションを開発しましたが、これは本当に理解できませんでした。私はこれについていくつかの説明をしたいと思います。

ありがとうございました。

Answer 1

ISPと宛先の間のノードでトラフィックを盗聴する危険性は低いです。あなたは何百万人もの人であり、ログイン情報を運ぶパケットを識別するためにパケット検査を実行するためには、そのレベルではほんのわずかな処理能力しか必要としません。

実際のリスクはローカルネットワークで指摘されているとおりです。 2最も一般的なシナリオは以下のとおりです。

1. 感染したコンピュータまたは悪質なユーザーはすべて暗号化されていないトラフィックを盗聴するためにARPポイズニングなどのトリックを採用しています。 ARP中毒は、交通量の少ないネットワークではほとんど気づかれません。トラフィックの多いネットワークでは、パフォーマンスが著しく低下し、検出の確率が高くなります。 ARP中毒の有効性は、慎重なネットワーク分割によって減少する可能性がある。

2. 誰かがゲートウェイを制御しています。すべてのインターネットトラフィックがゲートウェイを通過するので、これはおそらく最悪のシナリオです。攻撃者の巧妙さに応じて、これは検出するのが非常に難しい場合があります。

   盗聴に対する

SSLガード、そしてそれはあなたが認識しないかもしれないもう一つの利点があります：SSLは、あなたのパスワードやその他の詳細を受信エンティティは、あなたがそれだと思う人であることを確認することができます。

あなたが正当なウェブサイトとまったく同じように見える悪意のあるサイトにあなたをリダイレクトするDNS中毒の犠牲者と言えば、あなたは知る方法がありません。 SSLを使用すると、サイトが有効な証明書を持っていないという警告/エラーが表示されます。

個人的に私のパスワードは、情報がHTTPS上を移動するかどうかに合わせて調整します。なぜなら、最終的には、信頼できないネットワーク上でHTTP経由でログインする必要があるからです。

Answer 2

ケーブルは、ブロードキャストメディアを共有するので、パケットをスニッフィングするのはかなり簡単です。仕事のネットワーク、それほど多くはありません。一般的にはスイッチを切り替えると、トラフィックを盗聴するために特別なターゲットを指定する（または一般的なポート監視の設定を行う）必要があります。 DSLはISPに直接接続されています。一度それがネット上にあると、それを盗む誰かの現実的なチャンスは非常に低いです。アカウントは、データベースをハッキングするか、セキュリティで保護されていないワイヤレスから情報を盗むことによって、ほとんど常に盗まれます。これらの2つのうち、データベースを直接ハッキングすることがリスク/報酬比が最も優れているため、最も人気があります。

Answer 3

• 「しかし、何この出来事の真のリスクまたは可能性がある」：多くの要因に依存します。最大のものは使用しているサイトで、銀行取引はStackOverflowより高いでしょう。
• "パケットスニッファはどこで実行する必要がありますか"：データが通過する任意のノード（マシン上のマルウェアを含む）上にある可能性があります。単純なtracerouteがあなたに示すノードの量を見るために。
• は「は、パケットは、サーバーに戻って任意の時点で嗅いことでした 『：『自宅であることと対照的に、より大きなLANと社内ネットワークにて』Yes
• はスニフパケット』 はそれより簡単にです」 ：いいえ、条件は同じです。パケットが通過するノードの制御を取得し、スニファを追加します。

Answer 4

パケットが魔法のようにネットワークからサーバーにまっすぐに移動することはありません。パケットは通常、最終的な宛先に到達する前に、いくつかの異なるネットワークを通過します。チェーン内のどこかで誰かがトラフィックをキャプチャする可能性があります。

Answer 5

実際には、ネットワークの設定によっては、ワーグドライバーと同じように、自宅でリスクが高くなる可能性があります。あなたのネットワークにセキュリティがあり、隣人がセキュリティを持っていない場合、リスクはもちろん、はるかに低くなります。

いつでも誰かがあなたのホームネットワーク上であろうと大規模なネットワークであろうと、あなたと宛先の間のリスナーを得ることができます。

誰もがルーターで嗅ぐことはできないので、リスクは全体的にかなり低いです。しかし、SSLを使用していないということは、あなたが知らない人に多くの信頼を置いていることを意味します。

私はこのように扱います。サイトに必要なものがあるが、SSLがない場合は、財務情報が渡されなければそれを行います。これらのサイトでは、私は "spamcatcher"電子メールを使用します。アカウントにスニッフィングされている場合、私はまれにチェックする電子メールに行くので、大きな被害はありません。:-)

Answer 6

ネットワーク内のパケットを盗聴するのはずっと簡単です。したがって、WLANは多くの危険をもたらします。 他のコンピュータがスイッチ/ルータに接続されている場合、ルータ/スイッチ機能（ARPスプーフィング/ Poicing）を操作してパケットをスニッフィングできます。link textを参照してください。

WANのスニッフィング担当者は、もっと多くの作業を行う必要があります。あなたのIPは既知でなければならず、攻撃者はそこからパケットを盗聴するためにパケットの途中で1つのノードを操作する必要があります。

Answer 7

私はので、それはだと思う：あなたのユーザーがあなたのISPがパケットを盗聴しません確認することはできませんお使いのシステム

にログインする場所あなたがコントロールすることはできません

1. 。 （悪意のあるハッカーがそれを処理していた場合はどうすればよいでしょうか）

これは単なるインターネットです。あなたが他人とできることはあまりありません。最善の方法は自分自身を確保することです。

Answer 8

パケットは、クライアントとサーバー間のルートのどこにでも絶対にスニッフィングできます。攻撃者は、これらのネットワークの1つに物理的にアクセスするだけでよい。

明らかに、「リーフ」（ホームルータ、家庭用コンピュータ）ではなく「トランク」（ISP）に近づくほど、より多くのものを盗聴することができます。

DNSスプーフィングを使用すると、攻撃者はそのルートを変更して、自分が制御しているシステムを通過するようにすることができます。

おそらく、これを感じるには、自分で試してみるのが一番簡単です。 Wiresharkをインストールし、通過するものを見るのが簡単であることを確認してください。

Answer 9

tracerouteを実行します。文字通り、あなたと宛先の間のすべてのインターフェイスまたはルータがパケットをキャプチャできます。

おそらく感染の結果としてあなたの知識のないパケットスニッファを実行しているあなた自身のコンピュータから始まります。

Answer 10

公共の利用のためにウェブサイトを開発している場合は、その地域へのSSL以外のすべてのトラフィックを、国家または主要な通信会社が検査または変更できることにも注意してください。

チュニジアの政府は、Facebookのログインページに暗号化されていない訪問にJavaScriptの注入を行っていることを2011年1月中に報告書を検討：ログインフォームは、常にSSLを介して配信されなければならないなどがhttps://www.eff.org/deeplinks/2011/01/eff-calls-immediate-action-defend-tunisian

ページ、およびをフォームのターゲットアクションは常にSSLを使用する必要があります。個人的な消費を目的としたおもちゃのサイト以外は何も無責任です。

Answer 11

人々は、無線LANでデータをキャプチャすることは非常に簡単であるという事実を見落としています。アクセスポイントとの間でパケットをやりとりするときと同じWi-Fiネットワーク上のすべてのユーザー。そこのツールの多くは、アマチュアハッカーがこれを行うことができます。

SSLはデータを暗号化するため、コーヒーショップの隣にいる人がデータを取り込んで保存することができますが、SSLのおかげで暗号化され、基本的にハッカーにとっては役に立たないものです。 SSLがなければ、ユーザー名、パスワード、クレジットカード情報などはプレーンテキストであり、この投稿と同じくらい読みやすいです。