Задать вопрос
ligvake
@ligvake

Безопасно ли отправлять данные по HTTPS?

Можно ли перехватить https запрос и расшифровать данные в его теле?
Вроде все логично, он безопасен, но хочу узнать наверняка.
Есть ли какие-то подводные камни в этой теме?
  • Вопрос задан
  • 425 просмотров
Подписаться 2 Простой Комментировать
Решения вопроса 2
vabka
@vabka Куратор тега Веб-разработка
Если злоумышленник установит свой сертификат на компьютер жертвы, то он сможет перехватить, расшифровать, и зашифровать трафик так, что ни сервер, ни пользователь не заметят.

Если злоумышленник не установит свой сертификат, то пользователь получит соответствующее сообщение, перед тем, как сайт будет открыт. Если пользователь проигнорирует все предупреждения и пройдёт через много уровней "обороны" с нажатием кнопок "да, я уверен, пустите меня", то злоумышленник точно также сможет перехватить.

В остальном всё безопасно. Вдвойне безопасно, если клиент проверяет, что подключение произошло именно с тем сертификатом, который ожидается.

В целом https-у вполне доверяют банковскую и всякую секретную государственную информацию (в этом случае вместо обычных сертификатов и шифрования используют специальные, но всё же)
Ответ написан
Комментировать
AgentSmith
@AgentSmith
Это мой правильный ответ на твой вопрос
Да, перехватить можно, если злоумышленник установил у вас свои SSL-сертификаты.
Это можно сделать разными способами. Вплоть до законодательного уровня, как это сделано в некоторых странах.
В целом, получается так, что ваш траффик могут прослушивать, но ты об этом будешь знать, потому что там десять линий защиты от этого.
И, чтобы установить SSL-сертификат для прослушивания твоего траффика, надо об этом знать и сознательно на это пойти.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 4
Stalker_RED
@Stalker_RED
Если левые сертификаты вам никто не подсунул, то все хорошо. Квантовыми компьютерами пока не взламывают.
Ответ написан
zkrvndm
@zkrvndm
Архитектор решений
В теории SSL можно расколоть на квантовом компьютере (Алгоритм шора). Ну, по крайней мере я для себя так это понял. К счастью, достаточно мощных для этого квантовых компьютеров еще нет, но они вероятно появятся в обозримом будущем, но к тому моменту интернет точно переедет на квантово устойчивую криптографию.
Ответ написан
SagePtr
@SagePtr
Еда - это святое
Следует также помнить, что TLS защищает только передаваемый трафик. Если вредоносное ПО установлено на клиенте, или администратор сервера недобросовестный, либо сервер под контролем спецслужб - то трафик всё равно будет перехвачен, но не посередине, а в начальной или конечной точке.
Ответ написан
Комментировать
@rPman
Все сказанное другими отвечающими верно, но стоит очень осторожно подойти к вопросу - от кого защищаться

Любой участник выдачи сертификата (удостоверяющий центр, провайдер и место хранения сертификата) может устроить атаку. Так же разработчик браузера это так же может сделать. Браузерные расширения имеют доступ к данным. Любой локально установленный софт, в.т.ч. антивирусное обеспечение, фаервол ) то что локальное а не отдельная железка в сети)

Ещё момент, вирусное приложение у разработчика вашего решения, может оставить в нем трояна, такие случаи были
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы