私のISPは、私がウェブサイトやチャットプログラムで入力したパスワードを見ることは可能ですか?また、httpsで始まるSSLのウェブサイトについてはどうでしょうか、ISPに到達する前に私のユーザー名とパスワードを暗号化しますか?
25 Gohary 2011-01-11
また、このような場合には、「SSL」を使用しているかどうかを確認する必要があります。しかし、ISPは非SSL(http://
)接続を簡単に見ることができます
昨年、firesheep firefox プラグインがこのメカニズムの穴を公開したことに注意してください。多くのウェブサイトでは、最初のログインのためだけに https を使用し、その後、トラフィックの残りの部分を http に切り替えています。この場合、あなたの ISP はあなたがログインした後のトラフィックを傍受することができます。あなたのローカルネットワーク上の他の誰かがまた、firesheepプラグインを実行して、facebookを言うとあなたのセッションをハイジャックし、あなたになりすますことができます
ほとんどの大規模なウェブサイトは、この穴を修正するためにすべての時間をhttpsに移行しています。それは本当にあなたがあまりにもあなたのホームネットワーク上で心配する必要があるものではありませんが、あなたはこれがどのように動作するかを認識する必要があります
† 証明書の警告を無視しておらず、コンピュータやブラウザが危殆化していないことを前提にしています
*共有されている可能性のあるホストから要求しているホスト名を見ることもできます。TLS1.0 以降、ホスト名は平文(SNI)で送信されます
25 Phil Hollenback 2011-01-11
第27回カオスコミュニケーション会議(CCC)の以下の動画を見た方がいいと思います
“インターネットはあなたをどのように見ているのか:ほとんどのISPがあなたがインターネット上でどのような活動をしているのかを示しています
9 labmice 2011-01-15
フィリップは正しい 「https://
アドレスで起動した場合、すべてがあなたのコンピュータとリモートサーバ間で暗号化されている」という点では、1つの注意点があります:HTTPSで知っていることは、すべてがあなたのコンピュータとどこか他の場所の間で暗号化されているということです
man in the middle attackを使ってISPで通信が改ざんされる危険性があります – もし、そんなことはあり得ないと思うのであれば、悪意のあるエージェントがISPレベルでアクセスした場合に何が起こるかを示すチュニジアに関するニュースをご覧ください
これは、以下の場合にのみ避けることができます
- ユーザーは常に正しい
https://
URL を使用します - ユーザーは証明書の警告を無視しません
- ユーザーは100%自分のパソコンが改ざんされていないことを確認しています
そうでなければ、ISPは、技術に精通していないユーザーが気づかないような方法で接続を改ざんする可能性があります
4 Rory Alsop 2011-01-13
確かに、ISP(または許可なく機器を使用している他の誰か)は、ネットワークを通過する暗号化されていないデータを読み取る可能性があります。一般的に、暗号化されていないトラフィックには、電子メール、ウェブ、FTP トラフィックが含まれますが、HTTPS プロトコルのように SSL や TLS を使用して特別に暗号化されていない限り、暗号化されていません
また、一般的に、あなたのISPは、攻撃者がどこかのルーターに侵入するのを防ぐために、少なくともインターネット上で送信するパスワードが暗号化されていることを好むでしょう(特に、彼らの電子メールアカウントのために)。政府は自分たちの目的のためにISPにあなたのトラフィックを聞くように強制することができますが、あなたの個人情報やお金を盗むことが大好きな人々からあなたへのはるかに大きな脅威が存在しています
0 Ernie Dunbar 2011-02-09
あなたの質問への直接の答えではありませんが、パスワードはキーロガー(PCに不正にインストールされ、すべてのキー入力を記録するソフトウェア)か、フィッシングのようなソーシャルエンジニアリングのどちらかを使って盗まれることが多くなっています。(フィッシングとは、Facebookなどの「偽バージョン」にログインさせるように騙してメールを送り、フィッシング業者にパスワードを知られてしまい、本物のパスワードにリダイレクトさせることです。ほとんどの被害者は、最初は何が起こったのかさえ気づかないのです)。)
0 CarlF 2011-02-09