web-dev-qa-db-fra.com

Y a-t-il une différence entre HTTP et HTTPS lors de l'utilisation de ma connexion Internet personnelle / à domicile

Tout d'abord, je suis développeur web et non expert en sécurité. J'ai lu de nombreux articles sur la différence entre HTTPS et HTTP , y compris ceci site.

L'idée de base que j'ai obtenue d'eux est que, lors de l'utilisation de HTTPS toutes les choses sont cryptées côté client puis envoyées au serveur. (S'il vous plait corrigez moi si je me trompe)

Donc, même notre network admin ou une autre personne du réseau ne peut rien obtenir.

Lorsque j'utilise mon ordinateur portable à la maison (réseau de confiance) , y a-t-il un avantage à utiliser HTTPS sur HTTP ?

TLS fournit trois choses:

  • Confidentialité: que personne ne peut voir le trafic entre vous et facebook.com (Y compris le gars à la table suivante chez Starbucks, votre FAI, certains équipement de réseau sommaire dans le centre de données COUGH NSA, personne).
  • Intégrité: que personne ne modifie les messages lorsqu'ils voyagent entre vous et facebook.com (Ceci est distinct de Confidentiality car certains types d'attaques permettent vous de modifier le message de manière malveillante même si vous ne savez pas quels sont les messages).
  • Authentification: que vous parlez au serveur facebook.com Authentique, et non à une version usurpée de celui-ci.

L'idée de base que j'ai obtenue d'eux est que lors de l'utilisation de https, tout est crypté côté client, puis envoyé au serveur. (S'il vous plait corrigez moi si je me trompe)

Cela couvre les parties de confidentialité et d'intégrité, mais il vous manque la partie d'authentification:

Pour prouver que vous ne parlez pas à un serveur Web usurpé.

Disons que j'ai configuré une version de phishing de Facebook et que je pirate en quelque sorte votre routeur domestique (facile) ou votre FAI (plus difficile) de sorte que lorsque vous tapez facebook.com, Il se résout à mon adresse IP au lieu de la vraie. J'ai créé une copie exacte de l'écran de connexion que vous attendez et vous entrerez votre nom d'utilisateur et votre mot de passe. Muahaha! J'ai maintenant votre nom d'utilisateur et votre mot de passe.

Comment HTTPS empêche-t-il cela? Réponse: avec certificats:

HTTPS green lock thingy

Si nous ouvrons le certificat dans Dev Tools> Security de mon navigateur, nous verrons ceci:

certificate

DigiCert est ce qu'on appelle une Autorité de certification (AC) de confiance publique . En fait, DigiCert est l'une des autorités de certification auxquelles votre navigateur fait confiance intrinsèquement car son "certificat racine" est intégré dans le code source de votre navigateur. Vous pouvez voir la liste complète des autorités de certification racines de confiance en fouillant dans les paramètres du navigateur et en recherchant "Certificats" ou "Racines de confiance" ou quelque chose.

Ainsi, votre navigateur fait intrinsèquement confiance à DigiCert et, grâce à ce certificat, DigiCert a certifié que le serveur auquel vous parlez est le vrai facebook.com (Car il possède la clé privée qui correspond au certificat). Vous obtenez le cadenas vert et vous savez que tout va bien.


Juste pour le plaisir, faisons un faux facebook.com. J'ai ajouté cette ligne à mon fichier d'hôtes pour qu'à chaque fois que je tape facebook.com, Elle soit redirigée vers l'adresse IP de google.com:

209.85.147.138  facebook.com

Google, que fais-tu en essayant de voler mon mot de passe facebook ?? Dieu merci, HTTPS est là pour me protéger! Mon navigateur est super mécontent car le certificat qui lui a été présenté (pour google.com) Ne correspond pas à l'URL qu'il a demandée (facebook.com). Merci HTTPS!

insecure connection when the cert does not match the URL

125
Mike Ounsworth

Jusqu'à présent, les autres réponses sont bonnes. J'ajouterai un autre angle: Internet est un maillage de routeurs peu connecté; votre routeur wifi domestique n'est que l'un d'entre eux. Toute connexion HTTP que vous établissez à un serveur Web ailleurs sur le net prend généralement le chemin d'une douzaine de routeurs pour y arriver. Ce chemin change fréquemment en fonction des conditions du réseau; vous ne pouvez pas prédire les routeurs que vous utiliserez. Chacun de ces routeurs appartient et est géré par une personne ou une entreprise différente [1].

Toutes ces personnes ont la possibilité de regarder vos données au fur et à mesure. Ils peuvent le faire régulièrement, dans des situations non malveillantes, au cours du dépannage quotidien, car ce maillage de routeurs a besoin d'une surveillance et d'une administration constantes pour qu'il continue de fonctionner; cet effort englobe à lui seul plusieurs domaines de carrière. (Les personnes qui choisissent ces domaines de carrière ont tendance à être plutôt catégoriques quant à la bonne sécurité et à prendre leur responsabilité sociale au sérieux, mais la seule chose qui les tient à l'écart de vos données dans un sens pratique est leur propre conscience et réputation.)

Ainsi, l'équipement, les logiciels et les capacités sont déjà là; tout ce qu'un méchant doit faire est de coopter le routeur ou le système de surveillance de quelqu'un d'autre.

Les connexions HTTPS empruntent le même chemin, mais comme elles sont chiffrées, seul l'administrateur du serveur Web peut voir le contenu en texte clair; les administrateurs de routeur ne verront que ce qui ressemble à du bruit aléatoire. (Le serveur Web lui-même peut être compromis, mais c'est un problème différent.)

[1] Jouer vous-même avec la commande traceroute ou tracert vous donnera un aperçu de ce à quoi ces chemins peuvent ressembler.

6
stevegt

Réponse courte:

HTTPS a l'intention d'établir une connexion sécurisée entre un site Web enregistré et son ordinateur utilisateur, afin que vous puissiez être sûr que le site visité est vraiment ce que vous vouliez visiter et que les données ne sont pas acquises/modifiées en transit.

Longue réponse:

Si je vous ai bien compris, votre idée de base est que seul un administrateur réseau peut surveiller votre activité, et il n'y a rien de tel à la maison. Ce n'est pas le cas.

Tout individu, groupe, entreprise (FAI) ou état peut voir et modifier le transit, et par là infecter votre ordinateur. De nos jours, Internet est plutôt une cyber-zone, où les entités mentionnées attaquent souvent même leurs alliés pour voler des informations = argent = pouvoir, prendre le contrôle, menacer ou physiquement blesser des personnes par piratage. Même des outils d'État sont disponibles pour les particuliers sur le marché noir. Les outils/programmes malveillants persistants survivent à la modification du disque dur, afin qu'ils puissent vous surveiller/nuire à long terme.

Le problème avec https est qu'il peut également être piraté de nombreuses façons, ce qui vous donne un faux sentiment de sécurité, ce qui pourrait être plus dangereux.

C'est pourquoi il est important d'utiliser https, chaque fois que vous le pouvez, et de vous soucier également de la sécurité du système. Vous pouvez télécharger des extensions pour les navigateurs pour vous diriger automatiquement vers les sites HTTPS, lorsque cela est possible.

6
TriloByte

Avec HTTP, les informations transitent par ce pipeline entre votre ordinateur et le serveur:

enter image description here

De gauche à droite: votre ordinateur, l'espace aérien entourant votre ordinateur et votre routeur wifi, votre routeur, le câble vers votre boîtier FAI local, votre boîtier FAI local, un vaste réseau d'appareils et de fils dont vous ne savez rien et n'avez aucun contrôle sur le boîtier ISP local du serveur, le câble vers le serveur et le serveur lui-même.

Partout dans la zone rouge, les informations peuvent être consultées et falsifiées. Quiconque contrôle l'une des cases rouges peut espionner et falsifier les informations. N'importe qui peut briser l'un des tuyaux rouges et accéder aux informations qui le traversent et les fouiner ou les altérer.

Vos informations ne sont en sécurité que dans les boîtes et tuyaux verts et bleus.

Avec HTTPS, les informations transitent par ce pipeline:

enter image description here

Votre ordinateur et le serveur établissent un canal virtuel qui ne peut pas être ouvert et l'exécutent à travers tous les canaux et boîtes entre eux. Vos informations sont désormais en sécurité à tous les points de transit.

2
Jordan

Oui, il y a un énorme avantage à utiliser HTTPS sur HTTP.

  1. HTTP n'est pas crypté via PKI, et en tant que tel, toutes les informations sont transmises via du texte brut, lisible par un renifleur de paquets et chaque pièce d'équipement que ces paquets passent à travers une fois qu'ils ont quitté le modem.
  2. Avec HTTP, il n'y a aucun moyen pour quelqu'un de savoir si le propriétaire du site est qui il prétend être, et en tant que tel, aucun moyen pour quelqu'un de savoir s'il est soumis à une attaque MITM.
    • C'est pourquoi il est recommandé de toujours utiliser HTTPS si un site le propose, car c'est la seule façon pour un utilisateur de croire que le contenu qui lui est servi n'a pas été falsifié.

Avec HTTPS, toutes les informations envoyées et reçues sont cryptées via PKI, au minimum avec une clé de cryptage 1024bit/équivalent et un hachage SHA256, cependant de nombreux sites sont passés à 2048bit/équivalent, et toute connexion de traitement de site est plus susceptible qu'utiliser un 2048bit/clé de cryptage équivalente.

  • Par exemple, lors de l'utilisation de HTTP, tout l'équipement traversé par ces paquets peut lire exactement quelles informations sont envoyées et reçues (cela inclut les mots de passe, les numéros de compte et CC, etc.); cependant, si vous utilisez HTTPS, tout ce qui pourrait être lu serait les informations d'en-tête.

Votre question se pose également souvent avec les interfaces Web des routeurs sur les réseaux locaux, et même si ce trafic ne quitte jamais le réseau local, il devrait toujours être accessible via HTTPS uniquement, sinon tous les mots de passe, y compris ceux de la racine, seront envoyés en texte brut.

  • Peu importe qu'une personne soit la seule à accéder à son réseau local ou à y accéder ... si des mots de passe/informations sensibles doivent être envoyés/reçus, ils doivent toujours être accessibles par HTTPS uniquement, surtout lorsque cela ne prend que quelques minutes pour générer une CA ou CA/ICA auto-signée , et utiliser la CA ou ICA pour signer un CSR pour le serveur.
1
JW0914

Même si vous ne vous souciez pas trop de la possibilité que votre FAI/gouvernement soit mauvais, il existe au moins deux attaques faciles à exécuter contre votre connexion à domicile, de sorte que HTTPS sera la seule chose à protéger vos données:

  • --- attaque maléfique de jumeaux où quelqu'un configure un routeur wifi avec le même nom que le vôtre mais avec un signal plus puissant, de sorte que vous finissez par vous connecter à eux au lieu de votre propre routeur wifi (configurations wifi à la maison typiques impliquent uniquement une authentification unidirectionnelle - l'ordinateur portable prouve son identité avec le mot de passe, mais le routeur n'a pas à faire ses preuves).
  • Détourner le routeur, ce qui est souvent facile - le logiciel du routeur a tendance à être peu sûr, et il n'y a pas de processus de mise à jour de sécurité, donc une fois qu'une vulnérabilité pour votre version de routeur spécifique est découverte, votre routeur reste vulnérable pour toujours. Il existe divers outils prêts à l'emploi et même des logiciels malveillants automatisés qui ciblent les routeurs. Par exemple. cette attaque s'est produite il y a quelques mois.
0
Tgr