如今，公共Wi-Fi会成为威胁吗？

#1 楼

公用WiFi仍不安全，如果不与VPN之类的东西一起使用，它将一直存在。


许多网站都使用HTTPS，但并非全部使用HTTPS。实际上，超过30％的网站没有。

只有大约5％的网站使用HSTS。而且仍然信任首次使用。如果最长年龄很短，那么第一次使用可能会很频繁。让我们面对现实吧，即使您是安全专家，无论如何您还是会陷入SSL剥夺。我知道我会的。
仅仅因为您使用HTTPS并不意味着您做对了。仍然有很多混合内容。许多客户端仍支持具有已知漏洞的旧版本，因此攻击不一定要零日成功。
即使使用HTTPS，反正也会泄漏很多信息，例如域访问，您所有的DNS流量等。 ）加密技术的更新功能，您便拥有了自己的所有权。他们使用的任何加密货币。
Dancrumb的答案很多。



深度防御。

VPN很便宜而且在安全性方面仍然是低下的果实。

#2 楼

令我感到有些惊讶的是，没有人指出互联网比HTTP具有更多的优势。忘记了POP，SMTP，IMAP，FTP，DNS等。这些协议本质上都不安全。

#3 楼

公共wifi访问的另一个困难是您与其他未知角色位于同一局域网中。您对本地网络权限的任何错误配置都可能导致入侵您的设备。也许在家里，您已经在本地网络上配置了共享数据。现在，同一wifi接入点上的每个人都可以访问这些共享数据。通常，这种保护是通过防火墙来确保的（无论是在办公室还是在家中），并且您认为本地网络比裸机更安全。但是这一次，您可能与攻击者位于同一局域网中。

#4 楼

我会争辩说，每当您连接到可公开访问的网络时，您都将自己置于危险之中，VPN很棒，但是如果您（用户）搞砸了，并开口说，您就无法对您的计算机进行防火墙以抵御本地网络上的威胁：您的私人文件夹，可以与其他任何人共享。

我过去在公共网络上使用并使用过的一种策略是老式的蜜罐，与文件共享一个文件夹，并监视该文件的访问，当文件被获取时立即断开已访问并且您知道您没有访问它。

#5 楼

某些担忧与MiTM攻击以及便携式计算机被配置为在初始连接后基于SSID盲目连接到开放网络的趋势有关。没有什么可以阻止未知方使用与其他位置使用的SSID相同的SSID来启动接入点。因此，尽管您的某些流量可能受到保护，但不会受到很大的影响，攻击者将拥有一条可以试图危害您的笔记本电脑的路径。

#6 楼

关于使用公共Wifi服务，Tor和VPN仍可能泄漏信息。

除了Tor和VPN安全性方面，您仍然至少必须从公共Wifi获得DHCP服务。

取决于wifi设置，即使使用专属网络技术，即使在使用VPN的情况下，提供服务仍可能会直接在您的设备中直接打开（有限的）浏览器窗口，并且您的设备会暴露在外并与外界交谈直到您在专属网络门户中进行身份验证之前，一定程度上可以使用VPN。

IMO，这是当今人们所不愿想到的更大的大象-我在FreeBSD中写了一个概念证明，打开了客户端的头骨图片，然后再走VPN路线同事们并没有那么开心。

我建议根据设备的不同，除了Tor或/和VPN之外，您至少还需要完成最新的OS更新，并在其上运行经过微调的防火墙

因此，实际上，不，HTTPS和相关技术只是安全设置中等式的一小部分，在本身使用时只会给您带来虚假的安全感。 br />

#7 楼

正是在这种情况下，半“机会主义”加密（例如混合的纯文本/加密的HTTP / HTTPS生态系统）可能会使您失败-至少您必须依靠浏览器来防止意外地通过不安全的协议（即使中间有一个男人为您降低了协议的安全性），也基于不可靠的证书。对于每个页面，以及每个页面加载的所有内容。

如上所述，VPN仍可以将各种恶意流量隧穿到易受攻击的端点-并反向传输。

在如果没有真正有问题的恶意软件（例如键盘记录程序和非法的远程控制软件），最安全的设置是通过远程桌面或ssh（带有或不带有X11转发）之类的东西来控制受信任的远程计算机，从而使所有相关流量都通过一个加密通道进行。建立此通道仍将需要额外的努力（例如，手动验证证书足迹），以避免任何剩余的MITM攻击风险（在最坏的情况下可能获得攻击者的登录凭据）。

#8 楼

正如安全公司诺顿所说：

有什么风险？
公共Wi-Fi的问题在于，伴随着众多的
风险这些网络。尽管企业主可能
相信他们正在为客户提供有价值的服务，但是
机会是这些网络上的安全性是松懈的或根本不存在的。这些
网络上最常见的威胁称为中间人（MitM）攻击。本质上，MitM攻击是一种窃听形式。当计算机连接到Internet时，数据从A点（计算机）发送到B点（服务/网站），并且漏洞可能使攻击者
进入这些传输并“读取”它们。因此，您
所想的不再是私有的。 br />“秘密代码”，因此没有
解密代码的密钥的任何人都无法读取它们。大多数路由器是从工厂出厂的，默认情况下已关闭加密，并且在建立网络时必须将其打开。如果IT专业人员建立了
网络，那么启用加密的机会就很大。 >由于存在软件漏洞，攻击者还可以通过多种方法将恶意软件不经您的察觉就滑入计算机。软件漏洞是在操作系统或软件程序中发现的安全漏洞或漏洞。黑客可以通过编写针对特定
漏洞的代码来
利用此弱点，然后将恶意软件注入您的设备。
监听和嗅探
Wi-Fi监听和嗅探是什么听起来像
。网络罪犯可以购买特殊的软件套件甚至设备来
帮助他们窃听Wi-Fi信号。该技术
可以使攻击者访问您正在在线进行的所有操作
-从查看您访问过的整个网页（包括您在访问该网页时填写的所有信息）到br />能够捕获您的登录凭据，甚至能够
劫持您的帐户。
恶意热点
这些“恶意访问点”诱骗受害者
连接到什么他们认为这是一个合法的网络，因为该名称听起来很可信。假设您待在Goodnyght Inn，并想
连接到酒店的Wi-Fi。您可能会认为您在单击“ GoodNyte Inn”时选择的是正确的
，但实际上并没有。
相反，您只是连接到了由
现在可以查看您的敏感信息的网络罪犯。

当每个人都知道这些风险时，要做的最小的事情就是降低风险。
关于此，您可以阅读一些文章：

使用公共wifi网络安全吗？
保持公共wifi安全的十大方法
关于消费者面临的新安全风险

#9 楼

我不确定100％是否担心您的问题。

公共WiFi热点不可信，是的。但是互联网是不值得信赖的。您访问的网站不可靠。您用来搜索网络的网站特别不值得信赖。

公共WiFi热点上的某人可能会窃听您的连接。毫无疑问，有人会窃听您的所有通信。这通常发生在提供商的基础架构，CIX，国家边界以及跨洋（有时跨大陆）电缆中。您的值得信赖的提供商很可能被允许，并且在法律的要求下（他们在这里！）记录和存储有关您进行的每个连接，所有DNS查询等的详细统计信息，并与一些中等可信且绝对没有共享的信息值得信赖的政党，其中包括来自敌对国家的组织。
所有主要的工业州（不仅是美国）都有窃听组织，每个组织都有十万到十万人。有关与谁通信，何时通信，解析的DNS名称等等。

这对您来说是一个问题吗？好吧，如果是的话，请不要使用互联网。

公共WiFi热点上的某人可能会尝试利用您的计算机。好吧，猜猜是什么，有人可能也会通过您的家庭互联网连接来做到这一点。当然，这并不像在同一个本地网络上那样容易，但是几乎不可能。
我那古老的Windows 7曾经认为信任热点不是一个好主意，并且认为在这种情况下所有主机都是不受信任的（除非您明确地告诉它不同的东西）。那不是没有原因的。但是，在合理的设置下，使用完全敌对的本地网络仍然会相当安全。在过去的几年中，被利用的所有服务甚至都没有在我的计算机上运行（无论防火墙如何降低流量）。只是，不要跑你不需要的狗屎。网络访问的服务越少，利用的漏洞就越少（可用的RAM越多，作为免费赠品，启动速度越快）。使用过一个）。原因之一可能是您在旅途中，需要非常紧急地在网上进行一些非常重要的事情。好的，我承认，在这种情况下，公共WiFi可能会导致您的胃部不适，但是无论如何，这种情况经常发生。另外，您的银行满怀希望地使用https:，您可以在输入帐户信息之前先验证一下是否这样做。您最后关闭手机了吗？）实际上是不正确的。您可以在家中很好地进行银行业务，在旅途中并不需要24/7全天候在线。通常至少。谁在乎呢？但是，如果您认为这是绝对必要的，并且公共WiFi太可怕了，那么，请使用智能手机的LTE连接（稍微安全一些）。好像您不必使用公共WiFi。

使用公共WiFi的另一个原因是，您计划做一些非法的事情，不想让您的身份太容易被发现。当然，您不希望在家中进行大量非法物品（出售武器，毒品，鼻烟电影？恐怖主义？）。但是，在这种情况下，热点不值得信任又是什么问题呢？我的意思是认真吗？在这种情况下，十几岁的孩子在热点上嗅探您的流量是您遇到的最少问题。

#10 楼

如今，大多数站点都使用HTTPS并设置HSTS标头，因此某人可以窃听别人的连接的可能性很小。如果不能依靠HTTPS本身提供端点到端点的安全性，那么有多少个站点设置HSTS标头并不重要。而且不能。可悲的是。

您听说过TLS拦截代理吗？他们是司空见惯的。这些硬件代理（例如WebTitan Gateway或Cisco ironPort WSA）部署在学校，大学和图书馆中，并被雇主和咖啡店使用，使HTTPS无效，因为在“安全”连接期间，它们引入了一个动态证书，假装目标网站的官方证书。我的浏览器不知道它们之间的区别，如果我不了解它，那么我会信任每个HTTPS连接。

最初，HTTPS旨在防止MiTM攻击。今天，TLS代理就是MiTM攻击！无论您是阅读电子邮件还是查看银行帐户余额，您都不应幻想HTTPS确实在执行您期望的操作，也就是说，可以防止连接被窃听。而且，除非您通过家庭WIFI和路由器进行连接，或者除非您使用的是体面的VPN，否则请习惯一下您的连接可能会在不知情或未经您同意的情况下即时解密和重新加密的事实。

在真正的加密连接成为规范之前，几乎不需要考虑OP提出的“其他威胁”。目前还不是，HTTPS是一场闹剧。 （为防止窃听，请使用由不会存储或发布记录的公司运营的可靠VPN。使用TOR可以使连接更好。）

为什么我断言HTTPS / HSTS确实不是Web浏览器的安全毯？因为在OP提出问题之前3年，它已经被利用并被击败。就在两年前，它被颠覆了。此外，SSL的某些流行实现已被证明早在1998年就被破坏了。即使证书颁发机构（CA）也不受信任。简短的时间表：


1998年-Daniel Bleichenbacher描述了对PKCS＃1 v1.5（当时的RSA加密标准）的成功攻击（CRYPTO 98）；攻击被认为需要一百万条攻击消息才能利用
2009-Moxie Marlinspike创建SSLStrip来攻击HTTPS（Black Hat DC 2009上的演示）
2012-IETF为我们提供了实现HSTS的RFC 6797，旨在阻止SSL剥离
2012-Graham Steel发表论文（在CRYPTO 2012上），证明Bleichenbacher的填充oracle攻击所需的消息少于15,000条消息，而不是最初设想的100万条消息。
-2014年Leonardo Nve创建SSLStrip +以避免HSTS（在2014年黑帽亚洲亚洲大会上的演示）
2015年-Sam Greenhalgh演示了HSTS超级Cookie，展示了如何将HSTS安全机制轻易地颠覆为侵犯隐私的行为

2015年-Google实现了Symantec及其子公司欺诈性地发布了30,000多个安全证书，而没有进行适当的审核或披露
2016-Google制定了已发布的不可信证书颁发机构黑名单，称为Submariner
2017-Ars Technica报告说的Facebook和PayPal对Bleichenbacher的19年严重漏洞的测试结果为肯定，该漏洞使攻击者可以使用网站自己的秘密加密密钥解密加密的数据并签署通信。
2018-Google将Chrome更新到版本70，以便弃用对Symantec CA（包括诸如Thawte，VeriSign，Equifax，GeoTrust和RapidSSL等Symantec旗下品牌）的信任； Mozilla也效仿
2018年-Adi Shamir发表了一篇论文，详细介绍了PKCS＃1 v1.5的现代实现对填充oracle攻击同样不安全;影响协议和服务（例如AWS，WolfSSL和最新版本的TLS 1.3）于2018年8月发布。 GeoTrust等拥有DANE协议，该协议旨在通过允许域管理员创建TLSA DNS记录来通过DNSSEC“保护”安全证书（在此不容错过）。

如果DANE被广泛实施，我可能会更倾向于同意OP的低威胁评估，但是使用DANE意味着网站需要DNSSEC对其区域进行签名，而截至2016年，.com中只有大约0.5％的区域被签名。

有一些CAA记录可以替代相同的功能，但DANE的使用却不尽如人意。

/>到了2017年年底，有人窃听您的HTTPS / HSTS受保护的连接的可能性非常大。等待主流采用的安全技术，欺诈性权威机构颁发未经验证的证书或老式的硬件辅助工具窃听是在2018年底，我仍然认为您的HTTPS连接无法保护您的可能性非常高。

#11 楼

如果所有无线用户都知道与Web浏览和公共网络（因此不受信任的wifi网络）相关的安全隐患，那么您的论点将是有效的。 />简而言之，WiFi和HTTPS不会携带漏洞，但这并不意味着它们不会构成威胁。

#12 楼

像https这样的协议只能与它所传输的媒体一样安全，这将是允许的。即使您的终端上没有什么不安全（可能是这样），攻击者也可以将您的WiFi连接，登录名，扫描设备的开放端口作为目标，并做很多事情来控制通信或设备，将https可以有效地用作门上有开着的门的锁。