无论何时使用用户名/密码身份验证,通常的做法是使用加密(SSL,HTTPS等)保护数据的传输。但这会使终点容易受到攻击。
实际上,这会有更大的入侵风险?
传输层:通过无线数据包嗅探,恶意窃听等方式受到攻击
传输设备:风险包括ISP和互联网骨干网运营商嗅探数据。
最终用户设备:容易受到间谍软件,密钥记录器,肩膀冲浪等的攻击。</ p>
远程服务器:许多无法控制的漏洞,包括恶意操作员,闯入导致数据被盗,物理上抢夺服务器,备份保存在不安全的地方等等。
我的直觉反应是,虽然通过SSL相对容易保护传输层,但其他区域的风险要大得多,尤其是在终点。例如,在家里我的电脑直接连接到我的路由器;从那里它直接到我的ISPs路由器和互联网。我估计从低到非存在的传输级别(软件和硬件)的风险。但是我连接的服务器有什么安全性?他们被黑了吗?操作员是否收集用户名和密码,知道大多数人在其他网站上使用相同的信息?同样,我的计算机是否受到恶意软件的侵害?那些似乎风险更大。
我的问题是:如果我正在使用或开发的服务不使用SSL,我应该担心吗?当然,这是一个悬而未决的成果,但还有更多的成果。
答案 0 :(得分:1)
到目前为止,网络安全的最大目标是远程服务器。对于Web浏览器和HTTP服务器,最常见的威胁是XSS和XSRF。远程服务器也是其他协议的多汁目标,因为它们通常具有可全局访问的开放端口。
XSS可用于绕过Same-Origin Policy。黑客可以使用它来启动xmlhttprequests以从远程服务器窃取数据。 XSS广泛传播,黑客很容易找到。
Cross-Site Request Forgeries (XSRF)可用于更改远程服务器上帐户的密码。它也可以用于Hijack mail from your gmail account。与XSS一样,此漏洞类型也广泛传播且易于查找。
下一个最大的风险是“传输层”,但我不是在谈论TCP。相反,你应该更担心其他网络层。例如OSI第1层,物理层如802.11b。如果应用程序没有正确使用ssl,那么能够在当地咖啡馆嗅探无线流量可能会非常富有成效。一个很好的例子是Wall of Sheep。您还应该担心OSI第2层,数据链路层,ARP欺骗可以用于嗅探交换有线网络,就好像无线广播一样。 OSI第4层可能会被SSLStrip攻陷。到目前为止仍然可以使用它来破坏HTTPS中使用的TLS / SSL。
下一步是最终用户设备。用户很脏,如果你遇到其中一个“用户”告诉他们洗澡!不严重,用户很脏,因为他们有很多:间谍软件/病毒/坏习惯。
上次是传输设备。不要误会我的意思,这对任何黑客来说都是一个非常多汁的目标。问题是在Cisco IOS中发现了严重的漏洞,并且没有确实发生过。没有一个主要蠕虫影响任何路由器。在一天结束时,您的网络的这一部分不太可能直接受到损害。虽然,如果传输设备负责您的安全性,例如硬件防火墙,那么错误配置可能是毁灭性的。
答案 1 :(得分:0)
我们不要忘记:
答案 2 :(得分:0)
真正的风险是愚蠢的用户。
通过用户,您提到的任何风险都可以通过社会工程来完成。
答案 3 :(得分:0)
仅仅因为您认为通信的其他部分可能不安全并不意味着您不应该尽可能地保护您可以保护的位。
你可以做的事情是:
与其他任何阶段相比,交通运输是更多人可以倾听的地方。 (当你输入你的密码时,最多只能有2或3个人站在你后面,但是有几十个人可以插入同一个路由器,进行中间人攻击,数百人可以嗅探你的wifi数据包)
如果您没有对邮件进行加密,那么一路上的任何人都可以获得副本。
如果您正在与恶意/疏忽的终端进行通信,那么无论您使用何种安全措施,您都会遇到麻烦,您必须避免这种情况(向您和他们验证它们(服务器 - 证书))
这些问题都没有解决,也没有解决过。但裸体出去并不是解决方案。
