procedimento de melhor prática para uso do navegador em WiFi não protegido

4

Nesta pergunta publicada é o conselho

you need to always check that the SSL connection shows up green in your address bar and/or manually double-check that the certificate is valid when using unsecured wifi.

Como alguém poderia executar o conselho para "verificar manualmente manualmente" e é mesmo necessário se um estiver usando um dos 4 principais navegadores?

    
por H2ONaCl 15.05.2015 / 07:52

5 respostas

5

Ao usar uma rede insegura, o HTTPS não oferece proteção contra um invasor experiente e, especialmente, para sites que usam HTTP e HTTPS.

Aqui está um exemplo: quando você digita facebook.com na barra de endereços, você está realmente iniciando uma conexão HTTP. O site redireciona você para uma página HTTPS. No entanto, um invasor, que é posicionado adequadamente entre você e o facebook.com, pode modificar esse redirecionamento de HTTPS em um redirecionamento de HTTP e roubar suas senhas ou até mesmo injetar malware na resposta do site e infectar seu computador.

O que você pode fazer para evitar essa situação é digitar https://www.facebook.com em vez de facebook.com . Outra coisa que você pode fazer é manter a página HTTPS do facebook.com marcada e usá-la em vez de digitar.

Usar o navegador para verificar as credenciais do site é um teste muito bom. mas muitos sites populares ultimamente viram suas credenciais roubadas ou falsificado. Os hackers também podem usar credenciais para nomes de sites que são muito semelhantes aos nomes dos sites que alguém está tentando acessar, que uma inspeção casual não detectará.

Até mesmo o tráfego HTTPS puro pode ser atacado e violado. Um panteão inteiro de hacks foi introduzido ao longo dos últimos anos que levam nomes como CRIME , ANIMAL , Lucky 13 , SSLStrip e VIOLAÇÃO .

Usando o que é conhecido como técnica de oráculo , os invasores podem usar a compactação para obter informações cruciais. pistas sobre o conteúdo de uma mensagem criptografada. Isso porque muitas formas de criptografia, incluindo aquelas encontradas em HTTPS, fazem pouco ou nada para impedir que os invasores vejam o tamanho da carga criptografada. As técnicas de compressão da Oracle são particularmente eficazes na busca de pequenos trechos de texto no fluxo de dados criptografados, como senhas (!).

É importante entender que o invasor só precisa observar os pacotes HTTPS à medida que passam pela rede, que ele pode fazer facilmente em uma rede insegura instalando um sniffer .

Embora nenhum dos ataques tenha minado completamente a segurança oferecida pelo HTTPS, eles destacam a fragilidade dos protocolos TLS e SSL de duas décadas, e até mesmo das bibliotecas de software usadas para criptografia HTTPS.

O uso de VPN oferece melhor proteção, mas desde que um invasor possa observar o tráfego passando entre o seu computador e a rede, você não está absolutamente seguro.

Embora cada uma das medidas que descrevi acima melhore a segurança, não há garantia de proteção contra um invasor que tenha recursos o suficiente ou poderia até usar um método de ataque ainda desconhecido. Especialistas em segurança e navegadores estão sempre um passo atrás dos hackers.

A melhor prática é não inserir informações confidenciais, como senhas em uma rede desprotegida. Mesmo quando as credenciais são passadas como cookies , como é o caso quando um site oferece a opção de "lembrar" o logon, um invasor que intercepte a mensagem da rede pode extrair facilmente esses cookies.

Uma ferramenta que pode detectar quando o HTTPS é interceptado e impedi-lo a tempo de inserindo suas credenciais, é o Add-on Perspectivas do Firefox. Não pode, no entanto, proteger de ter o HTTPS descriptografado através de um sniffer.

As perspectivas são descritas como:

Perspectives is a new, decentralized approach to securely identifying Internet servers. It automatically builds a database of server identities using lightweight probing by "network notaries" - servers located at multiple vantage points across the Internet. Each time you connect to a secure website Perspectives compares the site's certificate with network notary data, and warns if there is a mismatch. This way you know if a certificate should be trusted! Using Perspectives prevents "man-in-the-middle" attacks, lets you use self-signed certificates, and helps you trust that your connections really are secure.

    
por 12.07.2015 / 09:16
1

Lembre-se de que, ao usar o Kaspersky AV, o Google é verificado pelo meu certificado antivírus. Eu usei 3 sites como exemplos. Google, Live.com e PayPal

Para verificar manualmente um certificado de site, faça isso:

Google:

Live.com

PayPal

Sempre clique em More Information para verificar se o certificado não foi falsificado.

    
por 15.05.2015 / 08:06
0

Na prática, é muito difícil verificar o status SSL de cada página. SSLPersonas é uma extensão do Firefox que mostra o quão segura é uma página da Web de uma forma muito óbvia . Ele altera o tema do Firefox de acordo com o status SSL de um site.

    
por 12.07.2015 / 14:33
0

Eu sugiro que você use o proxy tunnel, VPN ou tor browser. (use uma rede segura e seu navegador é uma fornalha com algum plugin essencial como o HTTPS Everywhere)

    
por 16.07.2015 / 06:50
0
  1. Instale este complemento: ssl-validation

    The addon will score the strength of the SSL connection

e isso: HTTPtoHTTPS

  1. dê uma olhada em ssh_proxy
por 19.07.2015 / 04:09