a1) O que você quer dizer com "quais são as chances"? Quais são as chances de o dono do wi-fi ser malicioso ou quais são as chances de ele conseguir fazê-lo? A primeira pergunta que não tenho dados. Este último depende do que você está usando o seu wifi para. Se você estiver baixando arquivos executáveis e executando-os, é óbvio que é muito fácil colocar malware no seu computador. Os próximos vetores mais prováveis são PDFs, ou Java / Flash / scripts mal-intencionados em sites, mas todos eles precisariam que você estivesse executando softwares vulneráveis (embora no caso do Adobe Acrobat, o seja vulnerável mesmo se você está 100% atualizado, nós simplesmente não sabemos o que há de errado com ele ainda ;)
Para evitar isso, eu diria que, em ordem crescente de paranóia (ou seja, 1 é sensato, o resto é mais paranóico):
- Não faça o download de nenhum executável em uma conexão à Internet na qual você não confia
- O seu navegador não está configurado para abrir PDFs no Acrobat (há muitas alternativas mais seguras), Flash ou miniaplicativos Java sem perguntar
- Considere usar o NoScript
Claro, se você estiver usando sites SSL, eles não poderão modificar os dados que você recebe. Provavelmente. Veja a resposta 3.
a2) Assumindo que nenhum malware tenha sido plantado em seu computador e você opere sob as regras da resposta 1, efetivamente zero. Pode haver programas com vazamento de informações ou bugs que permitem que as pessoas coloquem coisas no seu computador, mas isso não é realmente relevante para o Wi-Fi. Minimizar o número de aplicativos autorizados a usar a internet (nas configurações do firewall) é uma boa ideia por esse motivo.
a3) Quando você usa HTTPs, seu navegador verifica se o site é quem eles dizem que está verificando seu certificado. Somente algumas pessoas podem fornecer esses certificados, e seu navegador sabe como verificar os deles.
O que isso significa para segurança? Bem, por um lado, isso significa que você está confiando nesses escritores de certificados. Houve ataques em seus sistemas para produzir certificados fraudulentos no passado, e houve casos de navegadores confiando em autoridades certificadoras de que ninguém tem certeza de quem os possui agora.
O que você pode fazer? Alguns navegadores têm extensões para ajudá-lo aqui. O que você quer é algo que lembre qual certificado um determinado site teve da última vez que o visitou, e colocará um grande aviso se isso mudar. Isso significa que, mesmo que uma autoridade de certificação esteja comprometida de alguma forma, você ainda não entregará seus dados.
Este é um resultado muito improvável, a propósito - seria necessário que alguém obtivesse um certificado fraudulento E para, então, visar as pessoas que usam o site pelo seu wi-fi ... Dado o valor do certificado e o esforço para obtê-lo é muito mais provável que seja usado em um ataque mais amplo. Mas não vai doer se proteger contra essas coisas, de qualquer forma.
Ah, e claro, sites usando certificados auto-assinados são triviais para se mascarar. Ter uma extensão que compara o certificado à última vez que você os acessou o alertaria para qualquer intermediário que esteja acontecendo.
q3) os dados confidenciais transmitidos usando https sendo vistos ou roubados e não criptografados?