https sicuro?

[defra]

Il mio dubbio è il fatto che https sia veramente sicuro:
se una persona si collega x esempio al sito POSTE.IT per fare delle transazioni, da un computer collegato in rete (esempio: lavoro, università), del quale non si conosce niente (potrebbe esserci anche uno sniffer direttamente nel pc, oppure l'amministratore di rete collegato e pronto a sniffare qualcosa)...
...HTTPS protegge da ogni sniffata?
...una volta stabilito il collegamento https, si è veramente immuni da attacchi?
...posso quindi fare transazioni in sicurezza dal "internet point messo all'entrata della metropolitana?"

CIAO CIAO

[Misterxxx]

Non sono un esperto, ma ricordo bene quando un tecnico di un provider internet - ad una mia analoga domanda - guardandomi di traverso e con occhio avido disse asciutto: "... quando sei in rete non sei mai al sicuro ..." VVoVe:

[Cesar]

il protocollo ssl/https a 128bit e sicuro al 99%

[Habanero]

la sicurezza si ha sulla connessione tra i due endpoint. Dal momento in cui i dati lasciano la tua macchina a quando raggiungono l'altra.
Ovviamente un keylogger sulla macchina da cui partono i dati vanifica tutta questa sicurezza.
Https fa si che i dati in transito non siano sniffabili sulla rete.

[sebaz]

in teoria se da un modulo messo nel server sicuro HTTPS invio una mail questa è protetta o sniffabile ?

siccome si tratterebbe di tenere un elenco di carte di credito vorrei che la cosa fosse sicura.

Nel server terrei solamente le ultime 4 cifre della carta mentre invierei tutte le cifre via mail alla persona x. è sicura questa cosa o per niente.

il problema è che questa persona ha la necessità di prenotare via itnernet degli appartamenti, e come garanzia viene preso il numero della carta di credito.

da questa non vengono scalati soldi ma in caso la persona non si presenti può essere usata la carta per farsi pagare una parte delle notti prenotate.

quindi riassumendo:

Opzioni:

1. invio via mail del numero di carta di credito
2. i numeri delle carte restano all'interno del server col certificato SSL, protette da password crittata in MD5 e per essere viste bisogna effettuare un login, magari si potrebbero cirttare i numeri con una chiave che solo il proprietario sa.

quale delle due opzioni consigliate ?

grazie mille

[maiosyet_2]

Ma https non ti serve più di tanto, usi una chiave GPG a 2048 bit per crittare la mail e fine.

www.gnupg.org

se una persona si collega x esempio al sito POSTE.IT per fare delle transazioni, da un computer collegato in rete (esempio: lavoro, università), del quale non si conosce niente (potrebbe esserci anche uno sniffer direttamente nel pc, oppure l'amministratore di rete collegato e pronto a sniffare qualcosa)...
...HTTPS protegge da ogni sniffata?

Ovviamente no, se la situazione nella tua università è:

tuoHost --> [sniffer] --> router/gateway --> internet(https)

I dati vengono sniffati prima ancora di venir crittati. La soluzione è sempre GPG

[tia86]

La soluzione via Mail è scomoda, obbliga l'utente ad avere un programma che crittografa l'email e non sempre si può installare (da un internet point mica ti danno i privilegi per installare un programma ). Inoltre l'intera procedura deve essere fatta a mano (o con qualche acrocchio di script se si riesce) e se ci sono tante prenotazioni è scomodo e insicuro (se sbagli a copiare il num di carta di credito?)

La soluzione ottimale è interamente via web. La connessione deve, ovviamente, essere sicura, quindi SSL (https). I dati vengono conservati su un database *NON* accessibile direttamente da Internet.

>magari si potrebbero cirttare i numeri con una chiave che solo il proprietario sa.

e se il proprietario non si fa più vivo e devi scalargli i soldi, come fai? Solo lui conosce la chiave per decriptare il num. della carta di credito.

Altre cose come l'hashing della password sono inutili in quanto c'è già SSL a criptare tutti i dati.
Quindi, 2 cose:

- Codice della web application ottimo, nessuna falla (es. sql injection)
- Database preferibilmente inacessibile dall'esterno

[Kamui]

Originariamente inviato da maiosyet_2
Ma https non ti serve più di tanto, usi una chiave GPG a 2048 bit per crittare la mail e fine.

www.gnupg.org



Ovviamente no, se la situazione nella tua università è:

tuoHost --> [sniffer] --> router/gateway --> internet(https)

I dati vengono sniffati prima ancora di venir crittati. La soluzione è sempre GPG

Non è mica il router che critta i dati...
Se la connessione avviene attraverso HTTPS, quindi SSL, ci sarà uno scambio di certificati, o almeno un invio del certificato da parte del server, con tanto di indicazione di Certification Authority e data di scadenza. Piazzarsi tra l'host e il server, ossia prendere le parti del server, non è possibile; o meglio, è possibile, ma solo creando un certificato falsificato che non essendo affidabile genera un avvertimento all'utente "vittima"... certo se poi l'utente è pirla e clicca OK senza nemmeno leggere che "il certificato arriva da una fonte non affidabile", è un altro discorso. Ma i dati di certo non viaggiano in chiaro e in uno scenario simile HTTPS offre un buon livello di protezione