Questão Um site http estático simples pode não ser seguro?


A questão está no contexto de o recente anúncio do Google que em breve adicionará um aviso "não seguro" a todos os sites HTTP. Meu site é HTTP e não é muito mais que um simples “Olá Mundo!" local na rede Internet.

Não possui formulários para entrada do usuário. Não obtém conteúdo de outras fontes e não possui links externos. Então, como pode não ser seguro?


2


origem




Respostas:


É inseguro porque as pessoas que usam redes Wi-Fi abertas expõem suas solicitações HTTP GET ao público em geral. Qualquer pessoa na mesma rede Wi-Fi aberta pode ver quais sub-páginas do seu site estão lendo. Isso pode não ser uma informação que eles querem expor ao público em geral.

Por outro lado, um site HTTPS apenas expõe a consulta DNS ao nome do domínio. As pessoas não podem ver as subpáginas do seu site que outras pessoas estão lendo.


5





Além do ataque passivo que permite que as pessoas (ruins) saibam o que seus usuários estão lendo, o HTTP permite um ataque ativo onde alguém intercepta ou desvia o tráfego e o altera.

Por exemplo, suponha que você tenha amigos que confiam em seu julgamento sobre comida, e o proprietário do Joe's Diner configura um servidor falso para que quando alguém solicitar uma página do seu site em vez do "Hello World" você realmente os escreva "Joe's" Diner é realmente ótimo, eu pessoalmente verifiquei e você deve comer lá todos os dias! '. Na verdade, Joe é um bandido e sua comida está contaminada, então seus amigos adoecem e morrem. Quando suas famílias observam seus caches de navegador e vêem os conselhos do seu site matarem seus entes queridos, eles podem se irritar com você.


2



Esse é exatamente o problema. Também não tem que ser tão terrível, eu poderia apenas injetar um criptomoador em todas as páginas não criptografadas. - Daniel B
É mais provável que um site possa ser usado como uma frente descartável para um esquema de phishing ou para hospedar anúncios de viagra / oxycodone. - JakeGould


É seguro o suficiente para "você". Mas para alguém que o acesse, pode não ser seguro.

Isso é tópico, já que um serviço popular está servindo imagens de assinantes usando http. À medida que outros assinantes "percorrem" essas imagens, eles expõem informações sobre suas "preferências", pois as imagens podem ser vistas por qualquer pessoa farejando o tráfego.

Se você está apenas hospedando o clima, isso pode não importar. Qualquer um que digitar credenciais deve estar preocupado, e mesmo com https ou RDP dentro de uma VPN, elas não são necessariamente seguras de agências soberanas, como a NSA.

Estar logado em uma conta do Google não vai fazer nenhum favor a eles.

Mas esse rótulo não significa que seu site seja malicioso ou uma ameaça, embora uma pessoa sugestionável possa se convencer de que pode ser.


-1