ugrás a tartalomhoz

Milyen könnyű elkapni egy formmal küldött jelszót, ami nem titkosított?

Charybdis · 2008. Május. 20. (K), 00.31
Sziasztok!

Bekapcsoltam a Firefoxban azt a funkciót, ami figyelmeztet, amikor formot küldök el és nincs titkosítva az elküldött adat (jelszó). Néhány site nem használ SSL-t pedig azoknál erősen kéne :)

De ennek kapcsán felmerült, hogyha belépéskor nincs SSL, akkor mégis ki tudja elkapni a titkosítatlan jelszót, mi kell ehhez? Ezt átlagember meg tudja csinálni? Ha belső hálózatról küldöm a titkosítatlan jelszót, akkor a rendszergazda megtudhatja a jelszót?
 
1

Re

Bitman · 2008. Május. 20. (K), 02.14
Helló!

Ugyan nem vagyok hálózatbiztonsági szakember, meg hasonlók, de szerintem azért nem ilyen vészes a helyzet mint felvázoltad.. Ha egy konkrét weboldalra mész, akkor belső hálózaton kívül sztem nem nagyon van lehetőség a jelszó ellopására, ha a cél weboldallal minden rendben van.. (Nincs a kiküldött html kódban valami rossz indulatú szkript, stb).

Belső hálózaton meg pl rendszergazda simán megtudhatja ezeket a titkosítatlan jelszavakat szerintem, csupán be kell iktatnia egy hálózati forgalom logolására használható eszközt, pl egy proxy szervert, vagy egy hubot, vagy csak egyszerűen egy gépet be kell tennie a belső hálózat és az internetkapcsolat közé, és átjáróként működtetni. Ebben az esetben fel kell telepíteni egy logoló/csomagelemző programot, pl Ethereal.
Mivel a jelszavak titkosítatlanul kerülnek elküldésre Get vagy Post formájában így a kiküldött fejlécinformációk közt a jelszavakat is fellelheted (Postot nem tudom pontosan, de GET az 100%, h ott van).

De szerintem a rendszergazdáknak mindenhol kismillió dolga van minden egyes nap, így hát csupán szórakozásból nem fognak ilyenekkel szöszmötölni, inkább elszívnak egy cigit stressz levezetés céljából.. :)

Persze lehetnek kirívó esetek, utál, rosszindulatú, főnök kérésére csinálnak ilyeneket, stb, ma már minden előfordulhat, de én azért nem vagyok paranoiás.. :)
Persze e-banking ügyeket nem intézek akárhol, hiába van pl titkosítva, meg smses megerősítés, stb..


Ez az én saját véleményem, de érdekel a téma, úgyhogy várom én is a további hozzászólásokat hátha valaki tapasztaltabb emberke is benéz ide :)

Üdv:
Bitman
2

Nem fogják

janoszen · 2008. Május. 20. (K), 08.00
Az internetes node-ok rendszergazdái nem fognak ezzel szórakozni, mert jobb esetben azonnal kirúgják őket. Rosszabb esetben bíróság elé kerülnek. Egy titkosítatlan WLAN vagy lokális hálózat ebből a szempontból már kevésbé megbízható, ott ugyanis a boldog meg a boldogtalan tud hálózatot monitorozni.

Ha nagyon paranoid vagy, akkor keress valami VPN szolgáltatót és húzz oda egy VPN tunnelt, onnan meg már csak nem fogják megnézni a forgalmat. :)
3

Statisztikákat nem tudok,

vbence · 2008. Május. 20. (K), 14.29
de nagyságrendekkel nagyobb annak az esélye, hogy felkerül valami spyware/backdoor/troian/vírus/stb.. a rendszeredbe, minthogy valaki "megcsapolja" az Internetedet. Másrészt egyszerűen a egy ilyen muatvány kölségei sem térülnek meg (egy jó szakember x órája), ha nincsenek komoly pénzek a tranzakcióban.

A rendszergazda meg természetesen mindent tud és mindent lát... :)
4

--

Charybdis · 2008. Május. 20. (K), 20.17
Én nem aggódik emiatt, nem ezért kérdeztem. Hanem mióta bekapcsoltam a Firefoxban ezt a funkciót, lőttem pár oldalt, ahol elég hanyagul nincs SSL login.

Jó, nem kell mindenhova, pl. itt a Weblaboron simán elmegy, hogy nincs SSL login.

De nézzétek pl. ezt:
http://www.namecheap.com/
A jobb felső sarokban ha bejelentkezel, akkor nem titkosítja a jelszót.

Pedig ez egy nemzetközi domain regisztrátor oldal. Ha elfogják a jelszavad, akkor elveszted a domain neveidet, vagy pedig ha szerencséd van akkor pár hét után visszakapod őket (de addig lehet hogy egy pornó oldalra fognak mutatni).

Mert ha könnyű elfogni a titkosítatlan jelszavakat, akkor ez elég nagy biztonsági rés.

Amúgy a bejelentkezési oldalon már van "secure mode", amikor titkosítja a jelszót. De könyörgöm ez nem iwiw, ahol bepipálom a biztonságos bejelentkezés mezőt ha kedvem tartja. Itt domain nevek forognak kockán.
5

Akkor ajánlom...

vbence · 2008. Május. 20. (K), 21.21
Lépj be itt:
https://www.namecheap.com/
6

Tudom

Charybdis · 2008. Május. 20. (K), 22.08
Nem érted a lényeget :)

Ha OTP bank oldalán alapból titkosítatlanul menne át a jelszó, de lenne egy kis gomb vhol hogy titkosítsa, ami alapból nem lenne bepipálva, akkor ez szerinted megfelelő lenne? Nem, mert a legtöbben nem is tudnának róla hogy ez így nem kóser.

Ugyanez van itt is, egy domain név van olyan értékes, mint egy bankszámla, sőt.
7

Vitatkoznék

vbence · 2008. Május. 20. (K), 23.12
A domannevek többsége nem ér annyit, mint a bankszámlák töbsége, másrészt egyetértek, hogy ez egy szerencsétlen rendszer így.

Viszont visszautalnék a hármas postomra: a titkosítatlan jelszó kockázatánál vannak bőven súlyosabbak. Másrészt HTTPS nélkül én sem nagyon bankoznék (ami szintén fura, tekintve, hogy a bankkártyám számát ismerve bárki bármikor vásáolhat vele, aminél gyengébb láncszemet nehezen lehetne találni).