Ay0
2017-12-04 21:15:55 UTC
我認為,多年來我們一直在說公共Wi-Fi接入點不安全的論點不再有效,建議的補救措施(例如使用VPN)也不再有效。
現在,大多數網站都使用HTTPS並設置HSTS標頭,因此有人可以竊聽他人連接的可能性非常低,以至於預期TLS中存在零日漏洞。
那麼,還有哪些其他威脅可能如今在公共網絡上有人嗎?
我不知道我會稱其為威脅,而是漏洞。即使“最多”的站點使用HTTPS並設置了HSTS,“最多”也不是“全部”。
@yzT我想不出過去十年來主流安全專家使用的不再有效的論點。是的,正在使用HTTPS。但這並不能消除所有風險,也不能消除HTST標頭(並非所有瀏覽器都完全支持)。
*“大多數站點使用HTTPS並設置HSTS標頭” *-這是沒有證據的聲明。根據builtwith.com [在前十萬個站點中,只有12%的站點使用HSTS](https://trends.builtwith.com/docinfo/HSTS)。
並非所有瀏覽器都支持?https://caniuse.com/#feat=stricttransportsecurity誰在乎netscape?
將黑客網絡電纜插入筆記本電腦後,公共WiFi不再是威脅。
@dandavis,所有andriod pre 4.4(在二手市場和部分地區仍然很普遍)IE pre 11(因此贏得7)。活躍使用2組。
您不管理的Wifi接入點不安全,這仍然有效。(您從中得出的結論是完全不同的問題。)
@PlasmaHH這是一個很好的評論,儘管我只是要指出,在某些方面,公共WiFi的安全性不如將電纜直接連接到黑客的安全性。您可以忽略該電纜上的流量,也可以阻止數據通過該電纜發送,但是您不能阻止任何人訪問您的無線網絡廣播,也不能阻止他們為您提供輸入。
您是否建議用戶將自己完全限制在使用公共WiFi時已經訪問過的網站上?
如前所述,這個立場等同於說:“現在所有網絡流量都是安全的,因為一個匿名發布協議已經被黑客攻擊,以使其更難操縱流量。”當然,這是一個荒謬的想法。互聯網比互聯網要廣闊得多,所有流量都可能令人恐懼(從認真的安全角度來看,HTTPS和HSTS是不完整的解決方案-而且這很慷慨)。網絡永遠不會是安全的(在NAT,VPN之後),只有您的系統可以更安全。公共wifi只會向您展示*更多*。
如果黑客可以控制Wi-Fi熱點,則可以欺騙HTTPS。這就是緩存中毒的工作方式。在瀏覽器緩存中將JS文件替換為黑客自己的JS文件的位置。
@Aaron您如何“忽略該電纜上的流量”?
@zxq9不確定您的意思:“網絡永遠不會安全”
@jpmc26跳轉到從安全通道收到的HTTPS URL,再跳轉到其他HTTPS URL的Web應該是安全的
@curiousguy我的意思完全是關於用戶未從安全渠道接收HTTPS URL的網站,因此您的回應不是反駁。
@curiousguy連接到Internet的任何網絡都將永遠不安全。一個*完全*隔離的網絡可能(但通常不是)。儘管大多數用戶面臨的威脅狀況並不包括利用暴風雨或sneakernet類型網橋的堅定攻擊者,但總會有一些“進入”方式。一般說來,“網絡永遠不會安全”是正確的。假設惡意比特不能打入系統,因為“網絡安全”是一種有缺陷的思想-在整個歷史中都得到了充分證明。
@curiousguy通過忽略來自其中的所有數據。如果我有一個額外的網絡端口直接連接到一個已知的惡意主機,如果它處於類Unix的環境中,尤其是在開源操作系統中,則可能有多種方式:拒絕所有用戶對該設備文件的寫訪問用戶,或被防火牆阻止,或編輯操作系統以完全無視該設備或上述所有內容以及您可能想到的其他任何內容。在這種情況下,有人會移動一座山才能實現。但是,這一切都不會降低PlasmaHH的觀點;我只是在挑剔。
@curiousguy再說一次,儘管我之前發表了評論,但這個問題是從一些隨機人員的角度出發的,該人員具有足夠的能力來關注有效的安全問題(即:比普通用戶更勝任),但可能少於IT專業能力,誰剛剛連接到一些隨機的wifi網絡。在您的辯護中,這樣一個隨意的人可能很難按照我的建議去做。
** HTTPS不再是安全解決方案**。TLS攔截代理很普遍:大學,公司,學校,辦公室,ISP,咖啡店等。HTTPS在您不知情或未經您同意的情況下例行滲透時,不能認為是“安全”。