我认为,多年来我们一直在说公共Wi-Fi接入点不安全的论点不再有效,建议的补救措施(例如,使用VPN)也不再有效。

如今,大多数网站使用HTTPS并设置HSTS标头,因此有人可以窃听别人的连接的可能性非常低,以至于期望TLS中存在零日漏洞。如今在公共网络上面对吗?

评论

我不知道我会称其为威胁,而是漏洞。即使“大多数”站点使用HTTPS并设置了HSTS,“大多数”也不是“全部”。

“大多数站点使用HTTPS并设置HSTS标头”-这是没有证据的声明。根据buildwith.com的数据,前10万个网站中只有12%使用HSTS。

并非所有浏览器都支持? caniuse.com/#feat=stricttransportsecurity谁在乎netscape?

在将黑客网络电缆插入笔记本电脑的那一刻,公共WiFi不再构成威胁。

@dandavis,所有android pre 4.4(在二手市场和世界某些地区仍然很普遍)是pre 11(因此赢得7)。 2组正在使用中。

#1 楼

公用WiFi仍不安全,如果不与VPN之类的东西一起使用,它将一直存在。


许多网站都使用HTTPS,但并非全部使用HTTPS。实际上,超过30%的网站没有。

只有大约5%的网站使用HSTS。而且仍然信任首次使用。如果最长年龄很短,那么第一次使用可能会很频繁。让我们面对现实吧,即使您是安全专家,无论如何您还是会陷入SSL剥夺。我知道我会的。
仅仅因为您使用HTTPS并不意味着您做对了。仍然有很多混合内容。许多客户端仍支持具有已知漏洞的旧版本,因此攻击不一定要零日成功。
即使使用HTTPS,反正也会泄漏很多信息,例如域访问,您所有的DNS流量等。 )加密技术的更新功能,您便拥有了自己的所有权。他们使用的任何加密货币。
Dancrumb的答案很多。



深度防御。

VPN很便宜而且在安全性方面仍然是低下的果实。

评论


VPN并不能真正解决这些问题。它只是将本地ISP /访问点的风险推向了VPN提供商,而当下的许多VPN提供商如今对这些东西并不是很值得信赖。

–乔尔·科恩(Joel Coehoorn)
17年12月4日在18:35



@JoelCoehoorn是的,当然。但是在公共wifi上成为MITM很简单。在VPN隧道出口处成为MITM ...好吧,这需要做一些工作。不要让完美成为善良的敌人。

–安德斯
17年12月4日在18:45



@JoelCoehoorn如果您担心其他VPN提供商,则可以运行自己的VPN。而且,如果您不信任自己的ISP,那么公共WiFi并不是您真正的主要问题。

–JiK
17年12月4日在19:23

@JoelCoehoorn基本上就是为什么您在门上锁上了门,可以在10秒内将其踢倒。您仍然希望那个家伙花那10秒钟的时间并制造很多噪音,而不是像他拥有这个房子那样仅仅走进您的家。

–尼尔森
17 Dec 4'在20:25



Firefox现在可以阻止混合内容,这是一个很好的步骤。

– Qwertie
17年5月5日在1:50

#2 楼

令我感到有些惊讶的是,没有人指出互联网比HTTP具有更多的优势。忘记了POP,SMTP,IMAP,FTP,DNS等。这些协议本质上都不安全。

评论


您的观点很正确,以下内容并没有真正改变这一点,但是POP,SMTP,IMAP和FTP都已内置TLS,或者通过隧道(POPS,IMAPS等)或内置在协议中(STARTTLS等) ,并且DNS具有DNSSEC,它不会隐藏您的通信,但可以保护它免受篡改。 VPN仍然是解决公共wifi问题的合适解决方案。

–胸骨
17-12-6'2:58



在公共wifi设置中,DNS MITM攻击特别讨厌。您可以将整个用户重定向到假网站(或通过代理发送所有流量)

–丹·埃斯帕萨(Dan Esparza)
17年12月6日在15:31

@fjw现在主要操作系统都可以立即进行DNSSEC验证吗?那将是一个重大胜利,但是鉴于我的linux仍然很不稳定,我无法想象这确实发生了。除此之外,我真的不相信邮件客户端不会因为STARTTLS剥离而掉队。

–乔纳斯·谢弗(JonasSchäfer)
17年12月8日在7:45

尽管如今大多数人不是通过网络客户端阅读电子邮件吗?

– Shadur
17年12月9日在12:27

根据操作系统和各种后台程序(驱动程序等),您的计算机可能会变得非常脆弱,而无需知道连接到任何接入点的时间。很久以前,我们的工作笔记本电脑(RSA密钥保护的安全网络连接等),由于未捕获/过滤/等协议,因此MSN Messenger可以在您甚至开始安全网络登录过程之前就完美地工作。通过所谓的非常安全的连接。

– John U
17年12月11日15:38

#3 楼

公共wifi访问的另一个困难是您与其他未知角色位于同一局域网中。您对本地网络权限的任何错误配置都可能导致入侵您的设备。也许在家里,您已经在本地网络上配置了共享数据。现在,同一wifi接入点上的每个人都可以访问这些共享数据。通常,这种保护是通过防火墙来确保的(无论是在办公室还是在家中),并且您认为本地网络比裸机更安全。但是这一次,您可能与攻击者位于同一局域网中。

评论


这种观点的问题在于,通常来说,WiFi普遍如此不安全,因此最好假设动机不强的人都可以访问您的家庭WiFi网络。这就将问题变成了:“攻击者在公用WiFi上使用单个笔记本电脑追随随机用户而在家庭网络上追随随机用户的成本折衷是多少?”

– cjs
17年12月9日在17:31

@Curt:配置合理的家庭Wifi通常相当安全。当然,如果您正在谈论零时差,也许有办法,但是我不明白为什么您会选择wifi。有线路由器的零时差也使您可以访问,并且至少可以在全球范围内使用它们。有了公共wifi,它们已经在网络上了。为此,您需要在路由器或家庭wifi中享受零时差。

–entrop-x
17年12月9日在18:52

我不是在谈论零日。假设从一开始就对WiFi网络进行了良好的配置:良好的安全性考虑了用户及其技能;大多数家庭WiFi网络不是由网络工程师建立的。此外,即使配置良好的WiFi网络也经常存在漏洞,包括很多时候WiFi协议本身存在问题。 (最新的信息是两个月前,是KRAK。)这里没有进行进一步分析的空间,但是我支持我的说法,即假设攻击者可以访问您的WiFi网络,那么可以正常工作。

– cjs
17年12月11日,0:50

(顺便说一句,我还建议您假设攻击者可以轻松访问您的有线网络,除非您在该领域采取了特殊的预防措施。也许这有助于了解我在这里的了解。)

– cjs
17年12月11日在0:52

#4 楼

我会争辩说,每当您连接到可公开访问的网络时,您都将自己置于危险之中,VPN很棒,但是如果您(用户)搞砸了,并开口说,您就无法对您的计算机进行防火墙以抵御本地网络上的威胁:您的私人文件夹,可以与其他任何人共享。

我过去在公共网络上使用并使用过的一种策略是老式的蜜罐,与文件共享一个文件夹,并监视该文件的访问,当文件被获取时立即断开已访问并且您知道您没有访问它。

评论


我不确定您上一段中的过程会带来什么...。

– GnP
17-12-5'9:53



@GnP基本上,他假设网络上的攻击者将首先寻找简单的东西(一个公共共享文件夹),并且当他(Gartral)看到该文件已被访问时,他便从该WiFi断开连接,知道其中存在攻击者。

– BenjiWiebe
17年5月5日下午14:59

我认为这是一个很大的假设,即攻击者要做的第一件事就是窥探使用SMB / CIFS,即使是这样,他们也会去索要他们在网络共享中看到的任何文件。

–胸骨
17年12月6日,下午3:01

您确定,该攻击者不会从利用SMB / CIFS中的另一个0天漏洞开始吗?

–user1643723
17年12月6日在10:02

我确实说过“受雇”,我不再使用此技术,它是考虑威胁分析并自行研究入侵检测和缓解的起点。 @ user1643723,每次您设置一个蜜罐时,您实际上是在在邀请攻击者用一个大霓虹灯标明他们的爪子到您的系统中,该霓虹灯标有“看!闪亮的数据!快来!”

–车库
17年12月8日13:56



#5 楼

某些担忧与MiTM攻击以及便携式计算机被配置为在初始连接后基于SSID盲目连接到开放网络的趋势有关。没有什么可以阻止未知方使用与其他位置使用的SSID相同的SSID来启动接入点。因此,尽管您的某些流量可能受到保护,但不会受到很大的影响,攻击者将拥有一条可以试图危害您的笔记本电脑的路径。

评论


在实践中,“未知方启动接入点”可能是相对昂贵的利用/获利的危险犯罪。我们应该注意到,至少在某些方面,MiTM攻击已经激增了:因为没有安全更新(例如,旧的或无法自动更新)的W-Fi接入点是一个巨大的弱点。 arstechnica.com/information-technology/2019/07/…

– sourcejedi
19年7月12日在17:16



#6 楼

关于使用公共Wifi服务,Tor和VPN仍可能泄漏信息。

除了Tor和VPN安全性方面,您仍然至少必须从公共Wifi获得DHCP服务。

取决于wifi设置,即使使用专属网络技术,即使在使用VPN的情况下,提供服务仍可能会直接在您的设备中直接打开(有限的)浏览器窗口,并且您的设备会暴露在外并与外界交谈直到您在专属网络门户中进行身份验证之前,一定程度上可以使用VPN。

IMO,这是当今人们所不愿想到的更大的大象-我在FreeBSD中写了一个概念证明,打开了客户端的头骨图片,然后再走VPN路线同事们并没有那么开心。

我建议根据设备的不同,除了Tor或/和VPN之外,您至少还需要完成最新的OS更新,并在其上运行经过微调的防火墙

因此,实际上,不,HTTPS和相关技术只是安全设置中等式的一小部分,在本身使用时只会给您带来虚假的安全感。 br />

评论


直到最后一句话,大部分答案都集中在使用VPN的限制上,而问题实际上是关于使用HTTPS的限制。尽管您说的话听起来都是正确的,但我不确定这是否与问题有关。

–安德斯
17年5月5日在14:49

@安德斯·费尔(Anders Fair)但是,这个问题除了使用HTTPS之外还要求其他威胁

– Rui F Ribeiro
17年5月5日在15:33

#7 楼

正是在这种情况下,半“机会主义”加密(例如混合的纯文本/加密的HTTP / HTTPS生态系统)可能会使您失败-至少您必须依靠浏览器来防止意外地通过不安全的协议(即使中间有一个男人为您降低了协议的安全性),也基于不可靠的证书。对于每个页面,以及每个页面加载的所有内容。

如上所述,VPN仍可以将各种恶意流量隧穿到易受攻击的端点-并反向传输。

在如果没有真正有问题的恶意软件(例如键盘记录程序和非法的远程控制软件),最安全的设置是通过远程桌面或ssh(带有或不带有X11转发)之类的东西来控制受信任的远程计算机,从而使所有相关流量都通过一个加密通道进行。建立此通道仍将需要额外的努力(例如,手动验证证书足迹),以避免任何剩余的MITM攻击风险(在最坏的情况下可能获得攻击者的登录凭据)。

#8 楼

正如安全公司诺顿所说:

有什么风险?
公共Wi-Fi的问题在于,伴随着众多的
风险这些网络。尽管企业主可能
相信他们正在为客户提供有价值的服务,但是
机会是这些网络上的安全性是松懈的或根本不存在的。这些
网络上最常见的威胁称为中间人(MitM)攻击。本质上,MitM攻击是一种窃听形式。当计算机连接到Internet时,数据从A点(计算机)发送到B点(服务/网站),并且漏洞可能使攻击者
进入这些传输并“读取”它们。因此,您
所想的不再是私有的。 br />“秘密代码”,因此没有
解密代码的密钥的任何人都无法读取它们。大多数路由器是从工厂出厂的,默认情况下已关闭加密,并且在建立网络时必须将其打开。如果IT专业人员建立了
网络,那么启用加密的机会就很大。 >由于存在软件漏洞,攻击者还可以通过多种方法将恶意软件不经您的察觉就滑入计算机。软件漏洞是在操作系统或软件程序中发现的安全漏洞或漏洞。黑客可以通过编写针对特定
漏洞的代码来
利用此弱点,然后将恶意软件注入您的设备。
监听和嗅探
Wi-Fi监听和嗅探是什么听起来像
。网络罪犯可以购买特殊的软件套件甚至设备来
帮助他们窃听Wi-Fi信号。该技术
可以使攻击者访问您正在在线进行的所有操作
-从查看您访问过的整个网页(包括您在访问该网页时填写的所有信息)到br />能够捕获您的登录凭据,甚至能够
劫持您的帐户。
恶意热点
这些“恶意访问点”诱骗受害者
连接到什么他们认为这是一个合法的网络,因为该名称听起来很可信。假设您待在Goodnyght Inn,并想
连接到酒店的Wi-Fi。您可能会认为您在单击“ GoodNyte Inn”时选择的是正确的
,但实际上并没有。
相反,您只是连接到了由
现在可以查看您的敏感信息的网络罪犯。

当每个人都知道这些风险时,要做的最小的事情就是降低风险。
关于此,您可以阅读一些文章:

使用公共wifi网络安全吗?
保持公共wifi安全的十大方法
关于消费者面临的新安全风险


评论


尽管诺顿的引语很有趣,但它并不直接关注该问题。问题是HTTPS和HSTS是否不能解决这些问题。引用并没有真正提到。

–安德斯
17年5月5日在11:43

那不是重点,但是本文的第一个问题不是重点在该协议上,对吗?

–伊曼纽尔·皮罗瓦诺(Emanuel Pirovano)
17年5月5日在11:45

可以将问题改写为“ HTTPS无法解决的公共wifi存在什么问题?”我感觉到您正在回答“公共wifi有什么问题?”的问题。

–安德斯
17年5月5日在13:42

所以这个问题重复了:security.stackexchange.com/questions/1525/…

–伊曼纽尔·皮罗瓦诺(Emanuel Pirovano)
17年5月5日下午14:02

我同意,我只是要求了解这一点。谢谢

–伊曼纽尔·皮罗瓦诺(Emanuel Pirovano)
17年5月5日在14:45

#9 楼

我不确定100%是否担心您的问题。

公共WiFi热点不可信,是的。但是互联网是不值得信赖的。您访问的网站不可靠。您用来搜索网络的网站特别不值得信赖。

公共WiFi热点上的某人可能会窃听您的连接。毫无疑问,有人会窃听您的所有通信。这通常发生在提供商的基础架构,CIX,国家边界以及跨洋(有时跨大陆)电缆中。您的值得信赖的提供商很可能被允许,并且在法律的要求下(他们在这里!)记录和存储有关您进行的每个连接,所有DNS查询等的详细统计信息,并与一些中等可信且绝对没有共享的信息值得信赖的政党,其中包括来自敌对国家的组织。
所有主要的工业州(不仅是美国)都有窃听组织,每个组织都有十万到十万人。有关与谁通信,何时通信,解析的DNS名称等等。

这对您来说是一个问题吗?好吧,如果是的话,请不要使用互联网。

公共WiFi热点上的某人可能会尝试利用您的计算机。好吧,猜猜是什么,有人可能也会通过您的家庭互联网连接来做到这一点。当然,这并不像在同一个本地网络上那样容易,但是几乎不可能。
我那古老的Windows 7曾经认为信任热点不是一个好主意,并且认为在这种情况下所有主机都是不受信任的(除非您明确地告诉它不同的东西)。那不是没有原因的。但是,在合理的设置下,使用完全敌对的本地网络仍然会相当安全。在过去的几年中,被利用的所有服务甚至都没有在我的计算机上运行(无论防火墙如何降低流量)。只是,不要跑你不需要的狗屎。网络访问的服务越少,利用的漏洞就越少(可用的RAM越多,作为免费赠品,启动速度越快)。使用过一个)。原因之一可能是您在旅途中,需要非常紧急地在网上进行一些非常重要的事情。好的,我承认,在这种情况下,公共WiFi可能会导致您的胃部不适,但是无论如何,这种情况经常发生。另外,您的银行满怀希望地使用https:,您可以在输入帐户信息之前先验证一下是否这样做。您最后关闭手机了吗?)实际上是不正确的。您可以在家中很好地进行银行业务,在旅途中并不需要24/7全天候在线。通常至少。谁在乎呢?但是,如果您认为这是绝对必要的,并且公共WiFi太可怕了,那么,请使用智能手机的LTE连接(稍微安全一些)。好像您不必使用公共WiFi。

使用公共WiFi的另一个原因是,您计划做一些非法的事情,不想让您的身份太容易被发现。当然,您不希望在家中进行大量非法物品(出售武器,毒品,鼻烟电影?恐怖主义?)。但是,在这种情况下,热点不值得信任又是什么问题呢?我的意思是认真吗?在这种情况下,十几岁的孩子在热点上嗅探您的流量是您遇到的最少问题。

评论


指出“互联网不可靠”的好点。但是要清楚一点,仅仅是因为您的银行可能使用https:并不能使连接变得更加安全,而不是因为我们拥有TLS拦截代理的泛滥,而且这种思维方式可以任意渗透安全连接。

– Mac
19年2月19日在15:02

@Mac:是的,但是TLS拦截是通过您选择安装在计算机上的恶意软件(通常甚至需要付费)进行的。大多数公司计算机上安装的根证书都是类似的事情,这是故意的。基本上,您是说您可以使用卡巴斯基/ Avast /诺顿(或其他)读取流量,就像您可以使用其恶意软件使您的计算机无法使用一样。不过,这与Wifi或互联网无关。您可以做出或不做出自己的选择。对于普通用户而言,TLS这样非常安全。

–达蒙
19年2月19日在15:54

要点,但是我指的是通过硬件设备(例如Symantec的Blue Coat代理)发生的HTTPS拦截。

– Mac
19年11月20日14:02



@Mac:是的,作为根CA,赛门铁克也可以像大多数政府一样看到几乎所有内容。不幸的是,这就是“互联网不可信”的一部分,因为我们所拥有的所有信任实际上只是一个随机的实例,说它们是可信的,每个人都以此为基础。但是,我不知道有什么更好的系统可以解决密钥分发的问题。 PGP在90年代提出的想法不切实际,而在一个黑暗的小巷里交换间谍与间谍的信封甚至不切实际。您只需要希望赛门铁克不会从您的银行帐户中窃取。

–达蒙
19年11月21日在10:36

Blue Coat基本上与在企业笔记本电脑上或使用防病毒软件时的“安装自定义根证书”相同,只是您不再需要这样做,因为对手已经是CA(或从该CA购买该服务),并且从而能够生成他们喜欢的任何合格证书。是的,这真是倒霉。尽管如此,使用https://还是可以抵御普通罪犯的。另外,即使您从未登录银行,政府也仍然会窃取您的钱(没收土地)。因此,没有什么可担心的。

–达蒙
19年11月21日在10:40

#10 楼


如今,大多数站点都使用HTTPS并设置HSTS标头,因此某人可以窃听别人的连接的可能性很小。如果不能依靠HTTPS本身提供端点到端点的安全性,那么有多少个站点设置HSTS标头并不重要。而且不能。可悲的是。

您听说过TLS拦截代理吗?他们是司空见惯的。这些硬件代理(例如WebTitan Gateway或Cisco ironPort WSA)部署在学校,大学和图书馆中,并被雇主和咖啡店使用,使HTTPS无效,因为在“安全”连接期间,它们引入了一个动态证书,假装目标网站的官方证书。我的浏览器不知道它们之间的区别,如果我不了解它,那么我会信任每个HTTPS连接。

最初,HTTPS旨在防止MiTM攻击。今天,TLS代理就是MiTM攻击!无论您是阅读电子邮件还是查看银行帐户余额,您都不应幻想HTTPS确实在执行您期望的操作,也就是说,可以防止连接被窃听。而且,除非您通过家庭WIFI和路由器进行连接,或者除非您使用的是体面的VPN,否则请习惯一下您的连接可能会在不知情或未经您同意的情况下即时解密和重新加密的事实。

在真正的加密连接成为规范之前,几乎不需要考虑OP提出的“其他威胁”。目前还不是,HTTPS是一场闹剧。 (为防止窃听,请使用由不会存储或发布记录的公司运营的可靠VPN。使用TOR可以使连接更好。)

为什么我断言HTTPS / HSTS确实不是Web浏览器的安全毯?因为在OP提出问题之前3年,它已经被利用并被击败。就在两年前,它被颠覆了。此外,SSL的某些流行实现已被证明早在1998年就被破坏了。即使证书颁发机构(CA)也不受信任。简短的时间表:


1998年-Daniel Bleichenbacher描述了对PKCS#1 v1.5(当时的RSA加密标准)的成功攻击(CRYPTO 98);攻击被认为需要一百万条攻击消息才能利用
2009-Moxie Marlinspike创建SSLStrip来攻击HTTPS(Black Hat DC 2009上的演示)
2012-IETF为我们提供了实现HSTS的RFC 6797,旨在阻止SSL剥离
2012-Graham Steel发表论文(在CRYPTO 2012上),证明Bleichenbacher的填充oracle攻击所需的消息少于15,000条消息,而不是最初设想的100万条消息。
-2014年Leonardo Nve创建SSLStrip +以避免HSTS(在2014年黑帽亚洲亚洲大会上的演示)
2015年-Sam Greenhalgh演示了HSTS超级Cookie,展示了如何将HSTS安全机制轻易地颠覆为侵犯隐私的行为

2015年-Google实现了Symantec及其子公司欺诈性地发布了30,000多个安全证书,而没有进行适当的审核或披露
2016-Google制定了已发布的不可信证书颁发机构黑名单,称为Submariner
2017-Ars Technica报告说的Facebook和PayPal对Bleichenbacher的19年严重漏洞的测试结果为肯定,该漏洞使攻击者可以使用网站自己的秘密加密密钥解密加密的数据并签署通信。
2018-Google将Chrome更新到版本70,以便弃用对Symantec CA(包括诸如Thawte,VeriSign,Equifax,GeoTrust和RapidSSL等Symantec旗下品牌)的信任; Mozilla也效仿
2018年-Adi Shamir发表了一篇论文,详细介绍了PKCS#1 v1.5的现代实现对填充oracle攻击同样不安全;影响协议和服务(例如AWS,WolfSSL和最新版本的TLS 1.3)于2018年8月发布。 GeoTrust等拥有DANE协议,该协议旨在通过允许域管理员创建TLSA DNS记录来通过DNSSEC“保护”安全证书(在此不容错过)。

如果DANE被广泛实施,我可能会更倾向于同意OP的低威胁评估,但是使用DANE意味着网站需要DNSSEC对其区域进行签名,而截至2016年,.com中只有大约0.5%的区域被签名。

有一些CAA记录可以替代相同的功能,但DANE的使用却不尽如人意。

/>到了2017年年底,有人窃听您的HTTPS / HSTS受保护的连接的可能性非常大。等待主流采用的安全技术,欺诈性权威机构颁发未经验证的证书或老式的硬件辅助工具窃听是在2018年底,我仍然认为您的HTTPS连接无法保护您的可能性非常高。

评论


拦截代理引入的证书很少由全球信任的证书颁发机构签名。如果是这样,则表明CA在做错事,应该不受信任。如果HPKP或任何其他密钥/证书固定方法与HSTS一起使用,则该代理将无法正常工作。

–timuzhti
17年12月6日在4:45



对于匿名的不赞成投票的人,我只是反驳了OP声称使用HTTPS和HSTS使得窃听“极低”可能性的依据。

– Mac
17年12月8日在16:49

等等什么赔率极好吗?如果您不信任安装在计算机上的CA,请卸载它们,并为这些必需的内容进行销钉固定。有一个匿名匿名投票。

–timuzhti
17年12月11日在15:26

#11 楼

如果所有无线用户都知道与Web浏览和公共网络(因此不受信任的wifi网络)相关的安全隐患,那么您的论点将是有效的。 />简而言之,WiFi和HTTPS不会携带漏洞,但这并不意味着它们不会构成威胁。

评论


您似乎不了解这个问题-问题不是关于wifi本身,而是关于恶意用户与他人共享网络的问题-问题是关于威胁的问题-您说可能存在但不谈论它们

– schroeder♦
17-12-5在11:02



wifi和https也带有漏洞

– schroeder♦
17年5月5日在11:02

我不敢苟同。 OP声称协议是安全的,因此公共WiFi是安全的。协议确实是安全的(没有针对802.11或HTTPS atm的未修补漏洞-甚至KRACK都得到了很好的解决),因此所有问题都来自用户,他们无意或不注意地忽略了安全错误或开发人员非常小心地将其放置在浏览器或OS内的消息。

– jonna_983
17 Dec 5'在13:10



@ jonna_983 krack离“照顾好”很远。许多电话或路由器制造商只是不发布更新,许多人不更新,许多人使用旧的OS。在十年左右的时间内,克拉克可能只会被“照顾”。

–以前
17年6月6日在9:03

@Avery,我相信您的回复符合我的意思。已向用户建议使用未修补的(按KRACK)设备的安全隐患,但他们仍选择使用不安全的手段。无论如何,我的总体观点是,用户在浏览时会收到各种拒绝考虑的安全通知。

– jonna_983
17年12月6日在11:17

#12 楼

像https这样的协议只能与它所传输的媒体一样安全,这将是允许的。即使您的终端上没有什么不安全(可能是这样),攻击者也可以将您的WiFi连接,登录名,扫描设备的开放端口作为目标,并做很多事情来控制通信或设备,将https可以有效地用作门上有开着的门的锁。

评论


我不明白要点。如果我这方面的一切都不安全,那么为什么端口扫描会构成威胁? “定位您的登录名”是什么意思?

–安德斯
17年5月5日在9:06

我认为您的意思是说,无线上网本身会构成安全威胁,而VPN和HTTP仅次于其他本地威胁。但被其他答案覆盖。

– schroeder♦
17年5月5日在11:07

如果仅使用HTTPS,攻击者究竟能做什么?

–timuzhti
17年12月6日在5:02

伪造/中毒DNS是一件事。伪造专属港口。在可以完全建立https之前,修改标头以强制采用较弱的加密形式。仅依赖元数据的用途(例如跟踪)(如果您想跟随某人或检查他们是否在房间内,则无需破坏https,尽管严格来说这是WiFi问题,而不是AP问题)。他们的VPN或其他安全访问上的DoS可能会退回到不太安全的路由。不受限制地尝试检测漏洞(终端设备不在单独的防火墙后面)。

– Stilez
17年12月6日在7:19