Quanta informação o meu ISP pode ver?

Se você começar com um endereço https:// , tudo será criptografado entre seu computador e o servidor remoto, para que seu ISP não possa interceptar nenhum de seus dados ^{† *} . Seu ISP pode facilmente visualizar qualquer conexão não-ssl ( http:// ).

Observe que o firesheep plugin do firefox expôs um buraco nesse mecanismo no ano passado. Muitos sites usam https apenas para o seu login inicial e, em seguida, voltam para o http para o restante do tráfego. Neste caso, o seu ISP pode interceptar o seu tráfego depois de ter iniciado sessão. Outra pessoa na sua rede local também pode executar o plug-in firesheep e sequestrar a sua sessão com o facebook e fingir-se.

A maioria dos grandes sites está fazendo a transição para https o tempo todo para corrigir esse problema. Não é realmente algo com o qual você precisa se preocupar muito em sua rede doméstica, mas você deve estar ciente de como isso funciona.

^{† Assumindo que você não está ignorando os avisos de certificado, e seu computador / navegador não foi comprometido.}

^{* Ele também pode ver o nome do host que você está solicitando de um host possivelmente compartilhado. Desde TLS1.0 o nome do host é transmitido em texto simples (SNI)}

Acho que você pode querer assistir ao seguinte vídeo do 27th Chaos Communication Congress (CCC):

"Como a Internet o vê: demonstrando quais atividades a maioria dos provedores vê você fazendo na Internet"

1. Página de informações
2. Vídeo (incorporar) e mp4 para fazer o download
3. Pdf do discurso

Philiph tem razão para " Se você começar em um https:// endereço, tudo é criptografado entre seu computador e o servidor remoto "com uma ressalva: tudo que você sabe com HTTPS é que tudo é criptografado entre seu computador e algum lugar .

Há um risco de que suas comunicações possam ser adulteradas no ISP usando um homem no ataque do meio - e se você acha que isso não pode acontecer, consulte as notícias sobre a Tunísia que mostra o que pode acontecer se um agente malicioso tiver acesso ao nível do ISP.

Isso só pode ser evitado se:

• Um usuário sempre usa a URL https:// correta.
• Um usuário não ignora os avisos de certificado.
• O usuário tem 100% de certeza de que o computador não foi adulterado.

Caso contrário, um ISP poderá adulterar a conexão de um modo que um usuário experiente não pode perceber.

Claro, o seu ISP (ou outra pessoa que esteja usando o equipamento sem permissão, o que é um risco sério por si só) pode ler dados não criptografados que passam pela rede deles. Normalmente, o tráfego não criptografado inclui tráfego de e-mail, web e FTP, a menos que seja especificamente criptografado usando SSL ou TLS, como no protocolo HTTPS.

Além disso, seu ISP prefere que, no mínimo, as senhas enviadas pela Internet (em particular, para suas contas de e-mail) sejam criptografadas, para evitar que invasores comprometendo um roteador em algum lugar - como seu roteador sem fio com a senha padrão - e obtendo acesso a seus servidores. Embora o governo possa forçar um ISP a ouvir seu tráfego para seus propósitos, existe uma ameaça muito maior para você de pessoas que adorariam roubar suas informações pessoais e / ou dinheiro.

Não diretamente uma resposta à sua pergunta, mas as senhas são mais freqüentemente roubadas usando um keylogger (software instalado de forma ilícita no seu PC que registra todas as teclas digitadas) ou engenharia social, como phishing. (Phishing está enviando e-mails que enganam você para fazer login em uma "versão falsa" do Facebook ou qualquer outra coisa, revelando sua senha aos phishers e redirecionando você para a real. A maioria das vítimas nem ao menos percebe o que aconteceu .)