web-dev-qa-db-fra.com

Le trafic HTTPS est-il sur un réseau sans fil non crypté?

C'est quelque chose que je me demandais depuis longtemps. Si je suis, disons, en utilisant Gmail sur HTTPS, une personne peut-elle lire mes conversations et emails de messagerie instantanées si j'utilise un réseau sans fil non sécurisé? Je suppose que les données seraient sécurisées, car elle utilise une connexion cryptée. Y a-t-il autre chose à considérer?

21
davidscolgan

Je penserais que quelqu'un pourrait toujours effectuer une attaque homme-midiale si vous êtes sur une connexion Wi-Fi non sécurisée (ou même une connexion Wi-Fi sécurisée, s'ils trouvent un moyen d'être autorisé). C'est pourquoi vous devez toujours Vérifiez que la connexion SSL affiche le vert dans votre barre d'adresse et/ou vérifiez manuellement que le certificat est valide lors de l'utilisation d'une connexion Wi-Fi non sécurisée. En supposant que le certificat soit correct, la SSL devrait protéger vos données.

21
Darth Android

Tant que votre DNS et vos serveurs de racines SSL de votre navigateur sont valides, alors un attaquant sur le même réseau sans fil non sécurisé que vous ne pouvez pas entrer dans votre tuyau SSL avec un serveur.

DNS est la grande vulnérabilité dans cette zone - si votre chaîne de serveurs DNS est infectée par un attaquant que possible que toutes les choses semblent être sécurisées mais ne soient pas sûres.

Mais si votre question est de savoir si un pirate informatique aléatoire dans un aéroport ou un café sera capable de pirater votre tuyau SSL à votre banque, la réponse n'est presque certainement pas.

2
stevemidgley

Je pense que votre raisonnement est correct; Pour lire vos informations, il aurait besoin de déchiffrer la SSL. Il y aurait juste un niveau de cryptage de moins pour céder, afin d'accéder aux données cryptées.

2
PeterT

Quoi qu'il en soit, pensez que seules les données à l'intérieur du flux HTTP sont cryptées, mais les URL ne sont pas, alors peut-être que quelqu'un peut vous empêcher.

1

Vous devez également considérer que les pages initiales non-SSL ne sont pas protégées.

La plupart des sites sécurisés que vous visitez vous redirigeront d'un HTTP à une URL HTTPS lorsque vous allez à la page de connexion, mais sur un réseau indigne de confiance, vous pourriez être envoyé ailleurs par un homme au milieu.

Considérez que vous pouviez visiter http://firstflowbank.com , qui vous redirigerait généralement à https://login.firstverflowbank.com mais sur le réseau non sécurisé est défini à la place. Pour vous envoyer à https://login.frrstflowbank.com à la place. Vous ne remarquerez probablement pas, même si vous prenez le temps de vérifier et que le navigateur montrera tout comme étant sécurisé.

Pour éviter ce type de chose, signet ou tapez directement le HTTPS: // URL directement, ne s'appuyant jamais sur cette redirection.

1
Andrew