InsecurePasswords

Эта статья нуждается в редакционном обзоре. Как вы можете помочь.

Протокол HTTPS предназначен для защиты пользовательских данных от прослушивания и модификации. Сайты, которые обрабатывают данные пользователя должны использовать HTTPS для защиты данных своих пользователей. Без него существует техническая возможность перехвата этих данных с последующим их прослушиванием или модификацией. Для ознакомления с тем, какие конфиденциальные данные могут быть перехвачены, можно воспользоваться расширением Firesheep.

 
Передача форм аутентификации по небезопасному протоколу особенно опасна из-за большого разнообразия атак, которые могут быть применены против них. С помощью анализатора трафика, можно перехватить или подменить учетные данные пользователя, прослушивая или модифицируя сетевой траффик.
 
Панель безопасности в веб-консоли Firefox предупреждает разработчиков, если они запрашивают пароль через незащищенное соеденение. Есть несколько ситуаций, в которых веб-разработчик может не защищать данные пользователя:
 
1. Отправка кода формы через протокол HTTP. Даже если данные формы передаются по протоколу HTTPS, сам код формы не защищён от модификации если он отправлен через HTTP. Атакующий может модифицировать этот код, и к примеру, встроить в него скрипт-перехватчик данных, или подменить адрес, на который отправляются введеные данные. На данном скриншоте продемонстрирован пример такой проблемы и отображением соответствующего предупреждения в консоли:
 
Login Fields on an Insecure Page
 
2. Использование HTTP для отправки данных формы. В этом случае, введенные пользователем, данные, передаются по сети в открытом (незашифрованном)  виде. К примеру, пароль пользователя доступен всем тем, кто прослушивает интернет соединение, с момента передачи пароля с компьютера пользователя, заканчивая приёмом пароля на сервере. В этой цепочке имеется множество этапов, на которых пароль может быть перехвачен разными лицами: вашим системным администратором, интернет-провайдером, магистральным провайдером, дата-центром в котором расположен сервер и другими. На этом скриншоте изображен HTML-код с допущенной ошибкой, и предупреждением Firefox в консоли:

 

Login fields on a form with an http:// action

 

 
3. Отправка форм внутри IFrame, передаваемого по HTTP. Даже в случае, если основная страница передана по протоколу HTTPS, переданный по HTTP фрейм с кодом формы сводит использование HTTPS на нет. Код этого фрейма может быть свободно перехвачен и модифицирован, с целью получения пользовательских данных. На скриншоте ниже, изображен пример предупреждения Firefox при допущении такой ошибки.
 
Login fields on an http:// iframe
 
Иногда, сайты запрашивают логин и пароль, но безответственно подходят к хранению этих данных. В результате успешной атаки на такой сайт, хакер может получить логины и пароли, использующиеся для доступа к нему. Но это лишь полбеды. В случае если пользователь использует один и тот же пароль на нескольких сайтах, это оборачивается серьёзной угрозой для его безопасности. Зачастую, хакеры, при получении логина и пароля от одного сайта, пытаются использовать их на других сайтах, к примеру, на сайте онлайн-банкинга. Таким образом, используя один и тот же пароль на новостном сайте (который хранит лишь список статей для последующего прочтения, не представляющий из себя конфиденциальные данные) и для доступа к онлайн-банкингу, вы создаёте значительную угрозу своей безопасности.
 
Используйте разные пароли для разных сайтов. Если вы не можете их все запомнить - используйте менеджер паролей. Только очень ответственно подходите к его использованию - доступ ко всем вашим паролям ограничен только одним - мастер-паролем. Следует сделать его крайне сложным и устойчивым к подбору.
 
Stay secured.

Метки документа и участники

 Внесли вклад в эту страницу: CatWhoCode, Andrey1409, Sumanai, Galamoon, shalaguine
 Обновлялась последний раз: CatWhoCode,