Testy wykorzystania kanałów szyfrowanych do przesyłania haseł oraz poufnych danych.

Wszystkie poufne dane takie jak hasła, loginy, czy też numery kart kredytowych powinny być przesyłane szyfrowanym kanałem pomiędzy klientem, a serwerem. Dzięki temu użytkownik chroniony jest przed atakiem typu „man in the midle”, gdzie atakujący jest wpięty w komunikację pomiędzy użytkownikiem a siecią z której aktualnie korzysta. Ma on dostęp do wszystkich informacji przesyłanych przez ofiarę i tym samym w przypadku niezaszyfrowanych danych jest w stanie je przechwycić, zmodyfikować lub też zniszczyć. Wymagane jest więc zastosowanie odpowiednich zabezpieczeń, które będą chronić przesyłane dane. O tym, jaki typ ochrony należy zastosować, administrator informacji powinien zdecydować samodzielnie. Może to być protokół szyfrowania danych SSL/TLS, jak również inny środek ochrony kryptograficznej, np. szyfrowanie przy użyciu poczty elektronicznej i klucza publicznego odbiorcy. Na obrazie poniżej zaprezentowany został widok na przechwycony nieszyfrowany pakiet zawierający dane uwierzytelniające programem do podsłuchu ruchu sieciowego.

Przechwycony nieszyfrowany pakiet zawierający dane uwierzytelniające

Rys.  Przechwycony nieszyfrowany pakiet zawierający dane uwierzytelniające. Źródło: [Opracowanie własne]

W jednej z testowanych aplikacji, komunikacja z serwerem odbywała się z użyciem protokołu HTTP, który nie jest szyfrowany. Wszystkie dane przesyłane takim kanałem mogą zostać przechwycone i zmodyfikowane podczas transmisji. Na grafice poniżej przedstawiony został widok na komunikat o braku szyfrowania z przeglądarki Firefox.

Widok na komunikat o braku szyfrowania z przeglądarki Firefox

Rys.  Widok na komunikat o braku szyfrowania z przeglądarki Firefox. Źródło: [Opracowanie własne]

Tagi , , , , , , , , , , , .Dodaj do zakładek Link.

Podziel się swoją opinią na temat artykułu