Ao usar uma rede insegura, o HTTPS não oferece proteção contra um invasor experiente e, especialmente, para sites que usam HTTP e HTTPS.
Aqui está um exemplo: quando você digita facebook.com na barra de endereços, você está realmente iniciando uma conexão HTTP. O site redireciona você para uma página HTTPS. No entanto, um invasor, que é posicionado adequadamente entre você e o facebook.com, pode modificar esse redirecionamento de HTTPS em um redirecionamento de HTTP e roubar suas senhas ou até mesmo injetar malware na resposta do site e infectar seu computador.
O que você pode fazer para evitar essa situação é digitar https://www.facebook.com
em vez de facebook.com
. Outra coisa que você pode fazer é manter a página HTTPS do facebook.com marcada e usá-la em vez de digitar.
Usar o navegador para verificar as credenciais do site é um teste muito bom. mas muitos sites populares ultimamente viram suas credenciais roubadas ou falsificado. Os hackers também podem usar credenciais para nomes de sites que são muito semelhantes aos nomes dos sites que alguém está tentando acessar, que uma inspeção casual não detectará.
Até mesmo o tráfego HTTPS puro pode ser atacado e violado. Um panteão inteiro de hacks foi introduzido ao longo dos últimos anos que levam nomes como CRIME , ANIMAL , Lucky 13 , SSLStrip e VIOLAÇÃO .
Usando o que é conhecido como técnica de oráculo , os invasores podem usar a compactação para obter informações cruciais. pistas sobre o conteúdo de uma mensagem criptografada. Isso porque muitas formas de criptografia, incluindo aquelas encontradas em HTTPS, fazem pouco ou nada para impedir que os invasores vejam o tamanho da carga criptografada. As técnicas de compressão da Oracle são particularmente eficazes na busca de pequenos trechos de texto no fluxo de dados criptografados, como senhas (!).
É importante entender que o invasor só precisa observar os pacotes HTTPS à medida que passam pela rede, que ele pode fazer facilmente em uma rede insegura instalando um sniffer .
Embora nenhum dos ataques tenha minado completamente a segurança oferecida pelo HTTPS, eles destacam a fragilidade dos protocolos TLS e SSL de duas décadas, e até mesmo das bibliotecas de software usadas para criptografia HTTPS.
O uso de VPN oferece melhor proteção, mas desde que um invasor possa observar o tráfego passando entre o seu computador e a rede, você não está absolutamente seguro.
Embora cada uma das medidas que descrevi acima melhore a segurança, não há garantia de proteção contra um invasor que tenha recursos o suficiente ou poderia até usar um método de ataque ainda desconhecido. Especialistas em segurança e navegadores estão sempre um passo atrás dos hackers.
A melhor prática é não inserir informações confidenciais, como senhas em uma rede desprotegida. Mesmo quando as credenciais são passadas como cookies , como é o caso quando um site oferece a opção de "lembrar" o logon, um invasor que intercepte a mensagem da rede pode extrair facilmente esses cookies.
Uma ferramenta que pode detectar quando o HTTPS é interceptado e impedi-lo a tempo de inserindo suas credenciais, é o Add-on Perspectivas do Firefox. Não pode, no entanto, proteger de ter o HTTPS descriptografado através de um sniffer.
As perspectivas são descritas como:
Perspectives is a new, decentralized approach to securely identifying Internet servers. It automatically builds a database of server identities using lightweight probing by "network notaries" - servers located at multiple vantage points across the Internet. Each time you connect to a secure website Perspectives compares the site's certificate with network notary data, and warns if there is a mismatch. This way you know if a certificate should be trusted! Using Perspectives prevents "man-in-the-middle" attacks, lets you use self-signed certificates, and helps you trust that your connections really are secure.