Jsem v rozpacích se zeptat na tuto otázku, protože jsem pracoval 20 let v oboru, ale může mi někdo popsat, proč bych měl na každém webu, který používá autentizaci, spustit SSL? Rozumím větším problémům „proč“ (lidé používají stejné heslo na blogu i v bance) a předpokládám, že hesla jsou uložena zašifrovaná v databázi webů, ale chci opravdu, jednoduše, vysvětlit technické riziko přenosu non-SSL hesla způsobem, který je založen na praktické aplikaci.
Příklad: Mám blog WordPress, který hostuji na Bluehost. Přejdu na přihlašovací stránku, zadám své uživatelské jméno a heslo a stisknu odeslat. Tyto informace se odesílají na webový server v nezašifrovaném protokolu HTTP POST.
Nyní, když je někdo v mé síti nebo v jakékoli síti, kde jsou pakety vysílány, běží čichač, může číst pakety a psát kód analyzovat zajímavá slova jako „přihlášení“ nebo „heslo“. Tak to funguje?
Jak by to fungovalo v mém příkladu? Předpokládejme, že v mé domácí síti není nikdo - jinak bych přijal vhodná bezpečnostní opatření pro zařízení, která mám pod kontrolou. Jak se hacker dostane mezi mě a můj web? Přihlásí se pouze ke svému vlastnímu účtu Bluehost a bude moci sledovat veškerý provoz v podsíti? Nebo by mohli být KDYKOLI mezi tím; např. Jsem na Verizon FIOS, takže možná se dostanou (nainstalují automatizovaný proces) na server někde v síti Verizon. Nebo by mohli být doslova kdekoli?
Chápu práci v síti tak, že moje zařízení vysílá pakety s cílovou IP, což je server Bluehost. Tyto pakety si můj router „všiml“ a znovu je odešle směrovačům a přepínačům, které jsou součástí sítě Verizon. Když procházejí každou podsíť, existuje potenciál pro každé zařízení sedící v této síti, aby sledovalo paket při jeho místním vysílání. Osvědčené postupy by vedly k tomu, že by tyto sítě byly nastaveny se zabezpečením, které nevedlo k tomu, že by se lidé mohli dostat doprostřed ... ale jakmile se informace dostanou do Bluehost, pak jsme jim vydáni na milost, pokud jde o vysílací pakety. Jakmile server HTTP „uslyší“ POSTed informace, zašifruje a porovná je s místně šifrovaným heslem.
Je to přesný způsob, jak o tom přemýšlet a vysvětlit ostatním?