Apakah lalu lintas https melalui jaringan nirkabel yang tidak dienkripsi aman?

21

Ini adalah sesuatu yang sudah lama saya tanyakan. Jika saya, katakanlah, menggunakan Gmail melalui https, dapatkah seseorang membaca percakapan dan email IM saya jika saya menggunakan jaringan nirkabel yang tidak aman? Saya berasumsi bahwa data akan aman, karena menggunakan koneksi terenkripsi. Apakah ada hal lain yang perlu dipertimbangkan?

wireless-networking security encryption davidscolgan
sumber
3
Artikel yang harus dibaca: Firesheep
Sathyajith Bhat
1
Saya pikir itu adalah artikel yang mendorongnya untuk mengajukan pertanyaan tentang hal ini.
JFW

Jawaban:

21

Saya akan berpikir bahwa seseorang masih bisa melakukan serangan man-in-the-middle jika Anda menggunakan wifi tanpa jaminan (atau bahkan wifi yang aman, jika mereka menemukan cara untuk diizinkan). Inilah sebabnya mengapa Anda harus selalu memeriksa bahwa koneksi SSL muncul hijau di bilah alamat Anda dan / atau secara manual periksa apakah sertifikat itu valid ketika menggunakan wifi tidak aman. Dengan asumsi bahwa sertifikat itu benar, maka SSL harus melindungi data Anda.

Darth Android
sumber
7
jika benar-benar SSL dienkripsi dengan sertifikat SSL yang tidak dikompromikan dengan benar maka serangan MITM tidak mungkin.
ewanm89
@ ewanm89 Itulah sebabnya saya beralih bahwa seseorang perlu memeriksa sertifikat ketika melakukan perbankan / email / apa pun yang sensitif melalui jaringan yang tidak aman. Jika Anda tidak melihat bahwa sertifikat gagal divalidasi, MITM dimungkinkan. Untungnya webbrowsers akhir-akhir ini membuatnya sangat sulit untuk tidak memperhatikan.
Darth Android
1
Untuk menambahkan ke @ ewanm89, bukan tidak mungkin menjadi paket MITM dan mengendus - hanya mustahil untuk membacanya karena mereka dienkripsi.
Oke, itu rambut yang membelah. MITM dan memiliki paket yang terlihat seperti data acak sama tidak bergunanya dengan tidak melakukannya di tempat pertama dalam banyak kasus. Tapi ya, orang bisa melacak domain apa yang dihubungkan oleh komputer juga, tetapi tidak tahu data aktual yang dikirim / diterima. Juga, jika kita akan benar-benar jujur, secara teori saya bisa memaksa kunci AES dengan kekuatan komputasi yang cukup (petunjuk itu membutuhkan banyak).
ewanm89
Juga, saya berasumsi CA tidak terganggu, seseorang memeriksa bahwa CA administrator situs itu benar-benar pergi ke CA itu dan bertanya kepada administrator apa seharusnya sidik jari sertifikat oleh saluran lain. Seperti yang dapat dilihat, jarang memeriksa sertifikat SSL dengan benar (meskipun dilakukan dalam aplikasi seperti openvpn di mana admin mendistribusikan sertifikat sebelum koneksi, klien juga harus benar-benar memverifikasi itu).
ewanm89
2

Saya pikir alasan Anda benar; untuk membaca informasi Anda, mereka perlu mendekripsi SSL. Hanya akan ada satu tingkat enkripsi yang kurang bagi mereka untuk istirahat, untuk mengakses data yang dienkripsi.

PeterT
sumber
2

Selama DNS dan server rootkey SSL browser Anda valid, maka penyerang di jaringan nirkabel tidak aman yang sama seperti Anda tidak bisa masuk ke pipa SSL Anda dengan server.

DNS adalah kerentanan besar di area ini - jika rantai server DNS Anda terinfeksi oleh penyerang maka dapat membuat segala hal tampak aman tetapi sebenarnya tidak aman.

Tetapi jika pertanyaan Anda adalah apakah peretas acak di bandara atau kedai kopi akan dapat meretas pipa SSL Anda ke bank Anda, jawabannya hampir pasti tidak.

stevemidgley
sumber
1

Pokoknya ingatlah bahwa hanya data di dalam aliran http yang dienkripsi tetapi URL tidak, jadi mungkin seseorang dapat menyamar sebagai Anda.

Ignacio Soler Garcia
sumber
2
Ini tidak benar. Segala sesuatu di URL yang diminta kecuali nama domain dienkripsi sebelum dikirim melalui koneksi aman. Itu termasuk permintaan GET itu sendiri.
Andrew
1

Anda juga perlu mempertimbangkan bahwa halaman non-SSL awal tidak dilindungi.

Sebagian besar situs aman yang Anda kunjungi akan mengarahkan Anda dari http ke url https ketika Anda masuk ke halaman login, tetapi pada jaringan yang tidak dapat dipercaya, Anda mungkin dikirim ke tempat lain oleh seorang pria di tengah.

Pertimbangkan bahwa Anda dapat mengunjungi http://firstoverflowbank.com , yang biasanya akan mengarahkan Anda ke https://login.firstoverflowbank.com tetapi pada jaringan tanpa jaminan diatur sebagai gantinya untuk mengirim Anda ke https://login.flrstoverflowbank.com sebagai gantinya . Anda mungkin tidak akan menyadarinya, bahkan jika Anda meluangkan waktu untuk memeriksa dan browser akan menunjukkan semuanya aman.

Untuk menghindari hal semacam ini, tandai atau ketik https: // url secara langsung, jangan pernah mengandalkan pengalihan itu.

Andrew
sumber