Bezpieczeństwo Logowania

Odpowiedziano

Czemu połączenie do strony zapytaj.trybawaryjny.pl jest realizowane przy użyciu HTTP?

Hasła wpisywane podczas logowania mogą być przechwycone przez kogoś po drodze.

W przypadku www.trybawaryjny.pl certyfikat jest wystawiony dla www.trybawaryjny.pl ale w przypadku zapytaj.trybawaryjny.pl próba połączenia po HTTPS pokazuje, że certyfikat jest dla *.ogicom.pl.

Wszędzie uczą, że bezpieczeństwo jest ważne i że jak połączenie nie jest szyfrowane to ktoś może MITM zrobić i osadzić jakąś złośliwą treść albo jakiegoś trojana lub ewentualnie podmienić pobierane pliki np. generując złośliwy payload w Metasploicie i następnie zabawiając się arpspoof + iptables oraz robiąc odpowiednio Match and Replace w Burpie.

Tak wiec chcąc uniknąć ewentualnych ataków ze strony cyberprzestępców i zminimalizować ryzyko osadzenia różnego złośliwego kodu podczas przeglądania tej strony dobrze by było, gdyby możliwe było korzystanie z HTTPS.

Moje pytanie brzmi:  co zrobić, jeżeli teraz ktoś przechwyci moją komunikację ze stroną zapytaj.trybawaryjny.pl i podrzuci mi złośliwy skrypt lub coś, co wyexploituje mi przeglądarkę. Jak oprogramowanie antywirusowe lub oprogramowanie typu Internet Security może pomóc w przypadku stron tego typu (czyli dostępnych tylko po HTTP), żeby mnie chronić? Skąd mam pewność jaka zawartość mi się ładuje i czy pochodzi ona z oryginalnego źródła. Czy jakieś konkretne funkcje oprogramowania AV lub oprogramowania typu Internet Security pomagają w ochronie takiej „szarej myszki” jak ja, żeby się żadne świństwo nie załadowało w nieszyfrowanych połączeniach?

Ciekawski Zapytał w 28 września 2017 w Wirusy.
Dodaj komentarz
5 Odpowiedź(i)
Najlepsza odpowiedź

Witam,

Tego typu komunikaty faktycznie mają straszyć i wyglądają bardzo groźnie, niezależnie od okoliczności. Niezależnie jednak, gdy tylko pojawi się taki komunikat zalecamy nie wchodzić na daną stronę. Oczywiście nasz oprogramowanie monitoruje Pani aktywność pod kątem bezpieczeństwa. W tym przypadku jednak zgadza się Pani na poniesienie ryzyka i największa ochroną jest Pani sama dla siebie.

Może Pani też skorzystać z wtyczki do przeglądarki HTTPS Everywhere:
https://www.eff.org/https-everywhere

Dzięki niej strony na HTTP będą szyfrowane przez nią dla zwiększenia Pani bezpieczeństwa.

Jeśli chodzi o nas to zmienialiśmy serwer i coś poszło nie tak z przenosinami certyfikatu. Nasi technicy już nad tym pracują. Problem powinien być szybko rozwiązany.

Pozdrawiam,

Specjalista AVG Odpowiedział w 29 września 2017.
Dodaj komentarz

Wszystko jest dokładnie tak jak Pani napisała.  Jeśli chodzi o zagadnienia, które Pani wypisała przy okazji znalezionej strony, to wszystkie je opisywaliśmy na naszej stronie:
O managerach haseł mamy cały szerego artykułów, w tym poradniki krok po kroku jak korzystać z KeePassa, a nawet filmik instruktażowy:
https://trybawaryjny.pl/menedzer-hasel-czy-warto-z-niego-korzystac/
https://trybawaryjny.pl/keepass-w-firmie/

O backupach także pisaliśmy:
https://trybawaryjny.pl/backup-plikow-windows10/

O bezpiecznym graniu pisaliśmy przy okazji weryfikacji dwustopniowej:
https://trybawaryjny.pl/dwustopniowa-weryfikacja/

A o WannaCry był artykuł:
https://trybawaryjny.pl/wirus-wannacry-wszystko-co-musisz-o-nim-wiedziec/

Także polecam zapisanie się naszego newslettera i czytanie naszych artykułów 🙂

W razie jakichkolwiek innych pytań pozostaję do dyspozycji.

Pozdrawiam,

Specjalista AVG Odpowiedział w 29 września 2017.
Dodaj komentarz

Dziękuję za odpowiedź.

Czyli krytycznym elementem bezpieczeństwa jest po pierwsze świadomość użytkownika i odpowiedzialne (znaczy się rozumne) korzystanie z dostarczanych technologii.

Idąc tym tropem udało mi się trafić na materiały odnośnie Security Awareness (newslettes SANS OUCH) https://securingthehuman.sans.org/resources/newsletters/ouch/2017.   No i na dodatek są one w wielu językach,  w tym i po polsku,  więc można je sobie darmowo pobrać albo zaprenumerować na e-maila. Jest tam poruszane wiele zagadnień m.in. korzystanie z menedżerów haseł, tworzenie backupów, bezpieczne granie on-line, a nawet opisane są takie zagrożenia jak WannaCry itp.

Dodatek HTTPS everywhere również udało mi się zainstalować w przeglądarce. Przy okazji były też inne ciekawe dodatki np. NoScript oraz dodatek weryfikujący reputację stron i ostrzegający jeżeli strony stwarzają zagrożenie.

Zgodnie z tym, co wspomniane było wcześniej, że krytycznym elementem jest świadomość użytkownika, to widzę, że z tymi dodatkami też trzeba uważać, bo mają one dostęp do przeglądanych stron w takim samym stopniu jak sama przeglądarka, czyli jak np. by się używało FireFoxa do wchodzenia na strony bankowe i robienia przelewów, to zarówno sama przeglądarka jak i zainstalowane w niej dodatki mają dostęp do treści strony, haseł, numerów kont i wszystkiego, co użytkownik widzi lub wpisuje. O ile przeglądarce ufam, to dodatki są tworzone przez różnych autorów (głównie przez społeczność), więc instalując niezaufane dodatki do przeglądarek pozwala się im ingerować w treść strony (np. czytać ją i modyfikować). Dlatego teraz wiem, że dodatki zanim się zainstaluje trzeba weryfikować (sprawdzać recenzje i podpis – kto stworzył). Gdyby przypadkowo zainstalować dodatek utworzony przez jakiegoś nieuczciwego programistę, to on mógłby przechwycić wpisywane na stronie bankowej hasło z klawiatury (na podobnej zasadzie jak działa https://addons.mozilla.org/pl/firefox/addon/xenotix-keylogger/)  , mógłby podmienić numery kont tuż przed przelewem (na podobnej zasadzie jak działa https://addons.mozilla.org/pl/firefox/addon/tamper-data/ tylko w sposób niewidoczny)  i mógłby mnie śledzić.  Czyli tutaj widać, że nawet jak się używa dodatków i różnego rodzaju oprogramowania zwiększającego bezpieczeństwo, to i tak najważniejsza jest świadomość użytkownika, bo bez tej świadomości użytkownik zamiast zwiększyć swoje bezpieczeństwo może je znacznie obniżyć.

Oczywiście używając takiej czy innej przeglądarki, korzystając z takich czy innych dodatków, a także używając takiego czy innego oprogramowania antywirusowego zgadzam się z poniesieniem określonego ryzyka, więc niezwykle istotny jest wybór oprogramowania, które jest powszechnie znane, darzone zaufaniem i używane (oraz przetestowane) przez wielu użytkowników.

Bardzo fajny jest ten dodatek HTTPS everywhere.

Dziękuję za odpowiedź i pozdrawiam.

 

 

Ciekawski Odpowiedział w 29 września 2017.
Dodaj komentarz

Ja już otrzymuję newsletter, z czego bardzo się cieszę.

Bardzo fajny pomysł z tym serwisem i z tym, że można zadawać pytania i uzyskiwać za darmo odpowiedzi – super sprawa 🙂

Pozdrawiam

Ciekawski Odpowiedział w 29 września 2017.
Dodaj komentarz

Cieszę się bardzo zatem 🙂 O to nam chodziło.

Miłego weekendu!

Specjalista AVG Odpowiedział w 29 września 2017.
Dodaj komentarz

Twoja odpowiedź

Zamieszczając odpowiedź zgadzasz się z polityką prywatności i warunkami użytkowania.