1. घर
  2. सवाल और जवाब
  3. गैर एसएसएल लॉगिन फॉर्मों के जोखिम को समझना

गैर एसएसएल लॉगिन फॉर्मों के जोखिम को समझना

2009-03-12 6 views
26

वेब अनुप्रयोगों के उपयोगकर्ता के रूप में, मैं केवल उन सेवाओं के लिए साइन अप करता हूं जो एसएसएल सुरक्षित लॉगिन फॉर्म का उपयोग करते हैं। एक डेवलपर के रूप में, मुझे पता है कि जोखिम यह है कि गैर एसएसएल फॉर्म सादा पाठ में प्रसारित होते हैं और एक बेईमान व्यक्ति HTTP ट्रैफिक को "स्नीफ" कर सकता है और मेरा लॉगिन और पासवर्ड पता लगा सकता है।गैर एसएसएल लॉगिन फॉर्मों के जोखिम को समझना

हालांकि, अगर मैं कहूं, घर पर, मेरे डीएसएल या केबल इंटरनेट कनेक्शन पर यह सच जोखिम या संभावना क्या हो रही है? पैकेट स्निफर को कहां चलाना होगा? क्या किसी भी बिंदु पर पैकेट को सर्वर पर वापस स्नीफ किया जा सकता है? क्या घर पर होने के विरोध में एक बड़े लैन के साथ कॉर्पोरेट नेटवर्क में "स्नीफ पैकेट" करना आसान है?

मैंने थोड़ी देर के लिए वेब अनुप्रयोग विकसित किए हैं, लेकिन मैंने कभी इसे वास्तव में नहीं समझा है। मुझे इस पर कुछ स्पष्टीकरण प्राप्त करना अच्छा लगेगा।

धन्यवाद।

स्रोत

2009-03-12 Jim Jones

+1

आपने कॉर्पोरेट लैन और होम लैन का उल्लेख किया है: मैं उन जगहों की सूची में सार्वजनिक वाईफाई नेटवर्क जोड़ूंगा जहां स्नीफिंग हो सकती है। वे आजकल शांत हैं। – Bruno

उत्तर

18

आपके आईएसपी और गंतव्य के बीच नोड पर आपके यातायात का खतरा होने का जोखिम दूरस्थ है। आप लाखों में से एक होंगे और लॉग इन सूचनाओं वाले पैकेट की पहचान करने के लिए पैकेट निरीक्षण करने के लिए उस स्तर पर प्रसंस्करण शक्ति की गैर-छोटी मात्रा लेती है।

असली जोखिम स्थानीय नेटवर्क पर है, जैसा कि यह बताया गया है। 2 सबसे आम परिदृश्य हैं:

  1. एक संक्रमित कंप्यूटर या दुर्भावनापूर्ण उपयोगकर्ता सभी एन्क्रिप्ट नहीं किए गए यातायात सूंघना एआरपी विषाक्तता की तरह चालें कार्यरत हैं। एआरपी विषाक्तता कम यातायात नेटवर्क पर काफी अनजान है। उच्च यातायात नेटवर्क पर यह ध्यान देने योग्य प्रदर्शन गिरावट और पहचान बढ़ने की संभावना का कारण बन जाएगा। एआरपी विषाक्तता की प्रभावशीलता मेहनती नेटवर्क विभाजन से कम हो सकती है।

  2. किसी के पास गेटवे का नियंत्रण है। यह शायद सबसे खराब परिदृश्य है, क्योंकि सभी इंटरनेट यातायात गेटवे के माध्यम से गुजरता है। हमलावर कितना चालाक है इस पर निर्भर करता है, यह पता लगाना बहुत मुश्किल हो सकता है।सूँघने के खिलाफ

एसएसएल गार्ड, और यह एक और लाभ यह है कि आप के बारे में पता नहीं हो सकता है है: एसएसएल क्या आप वाकई आपके पासवर्ड और अन्य विवरण प्राप्त करने वाली इकाई हो की अनुमति देता है कि आप कौन लगता है कि यह है।

यदि आप कहते हैं कि आप DNS विषाक्तता का शिकार थे, जहां कोई आपको दुर्भावनापूर्ण साइट पर रीडायरेक्ट करता है जो वैध वेबसाइट की तरह दिखता है, तो आपके पास जानने का कोई तरीका नहीं होगा। एसएसएल के साथ आपको एक चेतावनी/त्रुटि मिलेगी कि साइट के पास वैध प्रमाण पत्र नहीं है जो आपको सतर्क करेगा कि यह सब कुछ नहीं होना चाहिए।

व्यक्तिगत रूप से मैं अपने पासवर्ड बताता हूं कि सूचना HTTPS पर यात्रा करती है या नहीं। मैं ऐसा इसलिए करता हूं क्योंकि यह अनिवार्य है कि अंततः मुझे अविश्वसनीय नेटवर्क पर HTTP पर लॉगिन की आवश्यकता होगी।

स्रोत

2009-03-12 14:42:32 freespace

+8

हाल के एनएसए खुलासे के प्रकाश में इस पुराने उत्तर को पढ़ना ... आईएसपी के बीच घिरा हुआ है और आप अब तक दूरस्थ संभावना नहीं है, मैंने सुझाव दिया कि यह कम से कम राज्य स्तर के प्रतिद्वंद्वियों के लिए था। फिर फिर, यदि आपके पास राज्य स्तरीय प्रतिद्वंद्वियों हैं, तो आपको अन्य समस्याएं हैं ... – freespace

6

केबल एक साझा प्रसारण माध्यम के रूप में पैकेट स्नीफ करने के लिए काफी आसान है। कार्य नेटवर्क, इतना नहीं। आम तौर पर स्विच किया जाता है, किसी को आपके ट्रैफिक को स्नीफ करने के लिए आपको विशेष रूप से लक्षित करना होगा (या सामान्य पोर्ट निगरानी सेटअप करना होगा)। डीएसएल आईएसपी के लिए सीधे है, इसलिए वहां बहुत कुछ नहीं है। एक बार यह नेट पर हो जाने पर, इसे चोरी करने वाले व्यक्ति की यथार्थवादी संभावनाएं बहुत कम होती हैं। किसी डेटाबेस को हैकिंग या असुरक्षित वायरलेस से जानकारी चुराकर खातों को लगभग हमेशा चोरी किया जाता है। और उन 2 में, डेटाबेस को हैकिंग करने का सबसे अच्छा जोखिम/इनाम अनुपात होता है, इसलिए यह सबसे लोकप्रिय है।

स्रोत

2009-03-12 14:09:06

3
  • "हालांकि, सच जोखिम या हो रहा की संभावना क्या है": कारकों में से एक बहुत पर निर्भर करता है। सबसे बड़ी साइट आप जिस साइट का उपयोग कर रहे हैं, बैंकिंग स्टैक ओवरफ्लो से अधिक होगी।
  • "पैकेट स्नफ़फर को कहां चलाना होगा": यह किसी भी नोड पर हो सकता है जिसमें डेटा चल रहा है (आपकी मशीन पर मैलवेयर सहित)। नोड्स की मात्रा को देखने के लिए एक साधारण ट्रैसरआउट आपको दिखाएगा।
  • "पैकेट किसी भी बिंदु पर वापस सर्वर को सूंघा जा सका": हाँ
  • सूंघ पैकेट "एक बड़ा लैन के साथ एक कंपनी के नेटवर्क में के रूप में घर पर होने का विरोध," "यह आसान करने के लिए है" : नहीं, आवश्यकताओं वही हैं। एक नोड का नियंत्रण प्राप्त करें जिसमें पैकेट चलते हैं और एक स्नफ़फर जोड़ते हैं।

स्रोत

2009-03-12 14:09:36

+0

यदि मैं ट्रैसरआउट करता हूं और "नोड्स" देखता हूं - आप कह रहे हैं कि किसी को http प्रतिक्रिया प्राप्त करने के लिए उन नोड्स में से एक पर स्निफर एप्लिकेशन को एक्सेस करना होगा और विशेष रूप से एक स्निफर एप्लिकेशन इंस्टॉल करना होगा? –

+0

हां उन नोड्स में से प्रत्येक (ज्यादातर राउटर, सर्वर या फ़ायरवॉल) एक स्नफ़फर रखने के लिए प्रमुख स्थान हैं क्योंकि उन्हें पैकेट को संभालने के लिए डिज़ाइन किया गया है। उन्नत प्रबंधित स्विच लेना और नोड्स में दिखाई देने के बिना पैकेट को कैप्चर करना भी संभव है। –

+0

यह ध्यान रखना महत्वपूर्ण है कि कोर राउटर की हैक/स्निफ होने की संभावना लगभग शून्य है। यदि आप अपने कंप्यूटर से सुरक्षा को अपने आईएसपी में सहज महसूस करते हैं और इसी तरह दूसरी तरफ, मध्य में सामान शायद ही कभी चिंता का होना चाहिए। – Chris

0

पैकेट जादुई रूप से सीधे आपके नेटवर्क से सर्वर पर यात्रा नहीं करते हैं। पैकेट आमतौर पर अपने अंतिम गंतव्य तक पहुंचने से पहले कई अलग-अलग नेटवर्कों को पार करेंगे। श्रृंखला में किसी भी बिंदु पर कोई ट्रैफिक कैप्चर कर सकता है।

स्रोत

2009-03-12 14:10:23

5

वास्तव में, आपके नेटवर्क सेटअप के आधार पर, आप घर पर उच्च जोखिम हो सकते हैं, क्योंकि लोग वार्ड्रीव करते हैं। यदि आपके नेटवर्क में सुरक्षा है, और पड़ोसी नहीं करता है, तो ज़ाहिर है, जोखिम बहुत कम है।

कभी भी कोई आपके और गंतव्य के बीच श्रोता प्राप्त कर सकता है, चाहे वह आपके घर नेटवर्क पर हो या कुछ बड़ा नेटवर्क हो, वे स्नीफ कर सकते हैं।

जोखिम, समग्र, काफी कम है, क्योंकि कोई भी किसी भी राउटर पर स्नीफ नहीं कर सकता है। लेकिन, एसएसएल का उपयोग नहीं करने का मतलब है कि आप उन लोगों में बहुत भरोसा रख रहे हैं जिन्हें आप नहीं जानते हैं।

मैं इसे इस तरह से मानता हूं। यदि किसी साइट में कुछ ऐसा है जो मैं चाहता हूं, लेकिन कोई एसएसएल नहीं है, तो कोई वित्तीय जानकारी पास नहीं होने पर मैं करूँगा। इन साइटों पर, मैं एक "स्पैमकैचर" ईमेल का उपयोग करता हूं। यदि खाता स्नीफ किया गया है, तो कोई बड़ी क्षति नहीं है, क्योंकि यह एक ईमेल पर जाता है जिसे मैं शायद ही कभी देखता हूं।:-)

स्रोत

2009-03-12 14:10:36

+1

वार्डिंग? क्या आजकल यह एक गैर-मुद्दा नहीं होना चाहिए? मेरा मतलब है - अगर आपके पास एक खुला डब्लूएलएएन है तो आपके पास एक गैर एसएसएल फॉर्म की तुलना में अधिक गंभीर समस्याएं हो सकती हैं ... – Tomalak

+0

यह एक गैर-मुद्दा होना चाहिए। दुर्भाग्यवश, मेरे पड़ोस में लगभग सभी जाल खुले हैं। मेरे द्वारा किए जा रहे अधिकांश पड़ोसों के बारे में भी यही सच है। –

0

अपने नेटवर्क में पैकेट को स्नीफ करना कभी आसान होता है। तो डब्ल्यूएलएएन बहुत खतरे की पेशकश करता है। यदि कोई अन्य कंप्यूटर आपके स्विच/राउटर से जुड़ा हुआ है, तो यह राउटर/स्विच कार्यक्षमता (एआरपी स्पूफिंग/पोइज़िंग) में मैनिपुलेशन द्वारा पैकेट को स्नीफ कर सकता है, देखें: link text

डब्ल्यूएएन में एक स्नीफिंग व्यक्ति को बहुत अधिक काम करना पड़ता है! तो आपका आईपी ज्ञात होना चाहिए और हमलावर को वहां से पैकेट को छीनने के लिए अपने पैकेट के रास्ते पर एक नोड का उपयोग करना चाहिए।

स्रोत

2009-03-12 14:11:11

0

मुझे लगता है कि क्योंकि यह है:

  1. आप नियंत्रित नहीं कर सकते हैं जहाँ आपके उपयोगकर्ता अपने सिस्टम
  2. आप सुनिश्चित करें कि आपके आईएसपी अपने पैकेट सूंघ नहीं होगा नहीं किया जा सकता में प्रवेश करेंगे। (क्या होगा यदि कुछ बुरा हैकर ऐसा करने में कामयाब रहे)

यह सिर्फ इंटरनेट है। दूसरों के साथ आप इतना कुछ नहीं कर सकते हैं। सबसे अच्छा तरीका अपने आप को सुरक्षित करना है।

स्रोत

2009-03-12 14:11:28 Ekkmanz

9

पैकेट को क्लाइंट और सर्वर के बीच के रूट पर बिल्कुल कहीं भी स्नीफ किया जा सकता है। हमलावर को केवल उन नेटवर्कों में से किसी एक के लिए भौतिक पहुंच प्राप्त करने की आवश्यकता है।

स्पष्ट रूप से आप 'पत्ते' (होम राउटर, होम कंप्यूटर) की बजाय 'ट्रंक' (आईएसपी) के करीब हैं, जितना अधिक सामान आप स्नीफ कर सकते हैं।

DNS स्पूफिंग के साथ, एक हमलावर उस मार्ग को संशोधित कर सकता है ताकि वह उस प्रणाली के माध्यम से गुज़र सके जो वे नियंत्रित करते हैं।

संभवतः इसके लिए एक महसूस करने का सबसे आसान तरीका यह है कि आप इसे अपने लिए आज़माएं। Wireshark इंस्टॉल करें, और देखें कि पास होने वाली सामग्री को देखना कितना आसान है।

स्रोत

2009-03-12 14:11:31 slim

+1

Ethereal अब Wireshark – basszero

+2

धन्यवाद कहा जाता है। मैंने अद्यतन किया और एक लिंक प्रदान किया। शर्म, एथेरियल एक महान नाम था। – slim

3

रन ट्रैसरआउट। आपके और गंतव्य के बीच सचमुच हर इंटरफ़ेस या राउटर आपके पैकेट को कैप्चर कर सकता है।

संक्रमण के परिणामस्वरूप शायद आपके ज्ञान के बिना एक पैकेट स्निफर चलाने वाले अपने कंप्यूटर से शुरू करना।

स्रोत

2009-03-12 14:12:24

4

यदि आप सार्वजनिक उपयोग के लिए वेबसाइट विकसित कर रहे हैं, तो आपको यह भी पता होना चाहिए कि किसी क्षेत्र में सभी गैर-एसएसएल यातायात का निरीक्षण या देश-राज्य या प्रमुख दूरसंचार कंपनी द्वारा संशोधित किया जा सकता है।

जनवरी 2011 ट्यूनीशिया की सरकार फेसबुक प्रवेश पृष्ठ पर गैर-एन्क्रिप्टेड दौरे पर एक जावास्क्रिप्ट इंजेक्शन प्रदर्शन कर रहा है में रिपोर्ट पर विचार करें: https://www.eff.org/deeplinks/2011/01/eff-calls-immediate-action-defend-tunisian

पेज जो लॉगिन के रूप में शामिल हैं हमेशा SSL पर वितरित हो जाना चाहिए और फॉर्म की लक्ष्य कार्रवाई हमेशा एसएसएल का उपयोग करना चाहिए। निजी खपत के लिए खिलौने साइटों के अलावा कुछ भी, कुछ भी कम गैर जिम्मेदार है।

स्रोत

2011-01-14 18:04:54 michaelhanson

2

लोग इस तथ्य को अनदेखा करते हैं कि वाईफ़ाई पर आपके डेटा को कैप्चर करना बहुत आसान है। एक ही वाईफाई नेटवर्क पर कोई भी उपयोगकर्ता जब आप अपने पैकेट को कैप्चर कर सकते हैं क्योंकि यह एक्सेस पॉइंट से/से यात्रा करता है। वहां बहुत सारे टूल शौकिया हैकर्स को ऐसा करने की अनुमति देते हैं।

एसएसएल डेटा को एन्क्रिप्ट करता है, भले ही कॉफी शॉप में आपके आगे वाला व्यक्ति कैप्चरिंग और आपके डेटा को संग्रहीत कर रहा हो, यह एसएसएल को एन्क्रिप्टेड धन्यवाद है और मूल रूप से हैकर के लिए बेकार है। एसएसएल के बिना, आपका उपयोगकर्ता नाम, पासवर्ड, क्रेडिट कार्ड जानकारी इत्यादि सादा पाठ है और इस पोस्ट के रूप में पढ़ने में आसान है।

स्रोत

2013-01-21 19:58:53 Yogi

संबंधित मुद्दे
नवीनतम प्रश्न

 संबंधित मुद्दे