Насколько безопасен SSL на самом деле?

Question

На днях я заметил, что если я запускаю HttpAnalyser IEInspector и собираю данные поста при входе в мой банковский счет или аккаунт Amazon, данные поста показывают мое имя пользователя и пароль в открытом виде. Это немного касается. Кто-нибудь знает, в какой момент происходит SSL-шифрование? Я предполагаю, что это означает, что любое программное обеспечение, установленное на вашем компьютере, потенциально может получить доступ к данным этой публикации. Очень страшно.

Answer 1

Эта вещь встроена в ваш браузер! Браузер - это объект, шифрующий текст, поэтому он, очевидно, будет иметь копии как зашифрованного, так и незашифрованного текста. Плагин, который вы показали, имеет доступ ко всему, что делает IE.

Если вы хотите точное представление о том, что происходит, используйте wireshark . Это будет считывать фактический сетевой трафик, выводимый вашим браузером.

Answer 2

Secure Socket Layer - шифрует данные через сокет (сеть / интернет) НЕ на вашем локальном компьютере.

Answer 3

SSL очень безопасен.

Я думаю, что Тило нашел правильный ответ - IEInspector, похоже, работает под IE, а не как отдельный инструмент. Я подозреваю, что поэтому он способен отображать трафик до , он проходит через стек SSL и покидает браузер.

Это можно доказать, загрузив перехватчик пакетов, например Wireshark , и прослушивая трафик с сетевой карты. Вы увидите, что пакеты на самом деле зашифрованы, и ваши логины на самом деле не выходят в виде простого текста.

Answer 4

SSL шифрует трафик "по проводам". Таким образом, между вашим компьютером и принимающим сервером безопасно (за исключением уязвимостей SSL, например, обнаруженная новая уязвимость - http://twit.tv/sn223).

Если на вашем компьютере установлено вредоносное ПО, значит, вы больше не в безопасности. И SSL не может вам помочь вообще. В любом случае, вредоносное программное обеспечение может использовать гораздо более простые атаки, такие как кейлоггинг ...

Answer 5

Что касается вашего вопроса о SSL, а не проблемы с отображением вашего uid / pwd в браузере. Короче говоря SSL в порядке. В последнее время были некоторые очень тонкие атаки, но это все еще хороший протокол, особенно TLS 1.0 и более поздние (TLS - ратифицированный SSL IETF)

Но вам нужно подумать об угрозах - какие проблемы вы хотите решить с помощью SSL? Если вы беспокоитесь об обнаружении несанкционированного доступа и секретности с помощью аутентификации на сервере, тогда все в порядке, просто убедитесь, что ваш клиент и / или сервер не согласовывают использование слабых наборов шифров, таких как 40- или 56-битный RC4 или DES. или MD4 и т. д.

SSL также может обеспечить аутентификацию клиента, если это необходимо, но это необязательно.

В качестве последнего примечания. SSL, как правило, лучше, чем все, что вы могли бы разработать:)

ура, Майкл

Answer 6

SSL-шифрование обязательно будет иметь место до попадания в сеть. Анализатор пакетов не может получить доступ к содержанию запроса или ответа.

Работает ли IEInspector внутри IE (как плагин)? В этом случае он может делать довольно неприятные вещи (но вы согласились на это, когда устанавливали его).