Dzień dobry
Loguję się dziś do Salonu, a tu w oknie logowania pojawia się radosny komunikat:
Skąd się wziął?
W najnowszym Firefoxie-52 jest wbudowany mechanizm ostrzegający przed przesyłaniem danych logowania otwartym tekstem przez internet.
Czy rzeczywiście takie dane mogą zostać przechwycone? Gdzie mogą zostać przechwycone?
Program kradnący hasła może być zainstalowany w każdym urządzeniu, które pośredniczy w połączeniu miedzy serwerem Salon24.pl a komputerem (albo tabletem czy smartfonem), z którego nastąpiło logowanie.
Np nasz domowy router może zostać zhakowany, i może się wtedy w nim pojawić narzędzie takie, jak Dsniff, bez naszego udziału.
Nie możliwe? Jak często statystyczny Kowalski aktualizuje system operacyjny domowego routera i instaluje w nim poprawki bezpieczeństwa?
Dwa przykłady:
https://niebezpiecznik.pl/post/stracil-16-000-pln-bo-mial-dziurawy-router-prawie-12-miliona-polakow-moze-byc-podatnych-na-ten-atak/
https://niebezpiecznik.pl/post/dziura-w-routerach-z-firmwarem-zyxel-a-m-in-tp-link/
Czy jest jakieś rozwiązanie zapewniające większe bezpieczeństwo logowania?
Oczywiście że jest - szyfrowanie połączenia z wykorzystaniem SSL/TLS.
Ile to kosztuje?
Po pierwsze, do szyfrowania SSL trzeba zdobyć - kupić albo zainstalować darmowy, certyfikat SSL.
Niestety koszt certyfikatu np StartSSL™ Identity Validation - to około 60 dolarów rocznie, czyli niemały wydatek, chociaż to jeden z najtańszych komercyjnych certyfikatów na rynku.
Darmowy certyfikat?
Dzięki programowi Let's Encrypt można w każdej witrynie zainstalować bezpłatnie certyfikat, który ma troszkę ograniczeń względem komercyjnych certyfikatów (potrafi obsługiwać tylko jedną subdomenę, nie ma trybu wildcard np *.domena.tld), ale do zabezpieczenia samej strony logowania powinien wystarczyć.
https://pl.wikipedia.org/wiki/Let%E2%80%99s_Encrypt
Zastanawiam się tylko, jak to się stało, że przy okazji takiego gruntownego remontu witryny Salon24 nikt nie pomyślał o szyfrowaniu pomimo, że np niektórzy dostawcy internetu podmieniają reklamy na stronach WWW na własne, co było bezpośrednim powodem wprowadzenia szyfrowania przez wyszukiwarkę google (samo używanie szukajki jest możliwe tylko w szyfrowanym połączeniu) .
PZDR