Безопасно ли отправлять данные по HTTPS?

Question

[ligvake]

Можно ли перехватить https запрос и расшифровать данные в его теле?
Вроде все логично, он безопасен, но хочу узнать наверняка.
Есть ли какие-то подводные камни в этой теме?

Answer 1

[Василий Банников]

Если злоумышленник установит свой сертификат на компьютер жертвы, то он сможет перехватить, расшифровать, и зашифровать трафик так, что ни сервер, ни пользователь не заметят.

Если злоумышленник не установит свой сертификат, то пользователь получит соответствующее сообщение, перед тем, как сайт будет открыт. Если пользователь проигнорирует все предупреждения и пройдёт через много уровней "обороны" с нажатием кнопок "да, я уверен, пустите меня", то злоумышленник точно также сможет перехватить.

В остальном всё безопасно. Вдвойне безопасно, если клиент проверяет, что подключение произошло именно с тем сертификатом, который ожидается.

В целом https-у вполне доверяют банковскую и всякую секретную государственную информацию (в этом случае вместо обычных сертификатов и шифрования используют специальные, но всё же)

Answer 2

[Николай Савельев]

Да, перехватить можно, если злоумышленник установил у вас свои SSL-сертификаты.
Это можно сделать разными способами. Вплоть до законодательного уровня, как это сделано в некоторых странах.
В целом, получается так, что ваш траффик могут прослушивать, но ты об этом будешь знать, потому что там десять линий защиты от этого.
И, чтобы установить SSL-сертификат для прослушивания твоего траффика, надо об этом знать и сознательно на это пойти.

Answer 3

[Stalker_RED]

Если левые сертификаты вам никто не подсунул, то все хорошо. Квантовыми компьютерами пока не взламывают.

Comments

[Николай Савельев]

Квантовыми компьютерами пока не взламывают.

Дело времени. Недолго ждать

[pfg21]

Николай Савельев, создание квантового компьютера подходящих параметров задача со сложностью гораздо более высокой чем линейная.

Answer 4

[zkrvndm]

В теории SSL можно расколоть на квантовом компьютере (Алгоритм шора). Ну, по крайней мере я для себя так это понял. К счастью, достаточно мощных для этого квантовых компьютеров еще нет, но они вероятно появятся в обозримом будущем, но к тому моменту интернет точно переедет на квантово устойчивую криптографию.

Comments

[pfg21]

вскрытие через алгоритм Шора можно и отсрочить, увеличивая размер ключа.
подбор более длинного ключа требует бОльшего количества когерентных квантов.
создания бОльшего количества когерентых квантов усложняет систему сильнее чем линейно.
ну тоже насколь помню

[zkrvndm]

pfg21, я не спорю, но трафик сегодняшних дней, благодаря Закону Яровой, можно будет легко расколоть и посмотреть кто что и куда писал, вплоть до сокровенных мыслей, который никто не должен был видеть.

Следите за мыслью. Самое больше через 8 лет появятся первые достаточно мощные квантовые компьютеры, у спецслужб и военных возможно даже раньше, ну пусть будет через 5 лет. Вот через пять лет они возьмут все те петтабайты данных, что писались все эти годы провайдерами и в фоновом режиме расшифруют и распарсят всю личную информацию, до которой только можно добраться.

И будет у нас личное дело на каждого гражданина, от того каких цветов трусы ты носил 5 лет назад, до цитирования всех твоих политических высказываний в мессенджерах, за которые кстати можно посадить любого, т. к. нет в России людей, которые хотя бы раз в жизни да не поносили власть или не нарушали закон по мелкому.

В общем, как-то так, на каждого будет готова цифровая удавка, его психопортрет и... кнопочки.

[pfg21]

Надим Закиров, не забудьте еще про мировое еврейского правительство и планету Нибиру :)
ни в одной стране мира нет идеального гражданина :) всем что-то да не нравится.

[zkrvndm]

pfg21, это все сказки) А вот что ни сказки, так это грядущий киберпанк и массовое урезание свобод посредством цифровых технологий, квантовые компьютеры лишь кирпичик, один из кирпичиков, что обеспечит контроль.

[pfg21]

Надим Закиров, ты только находясь в очках компуктеррной ИТ-цивилизации, забываешь что квантовые компутеры можно использовать не только для взламывания твоих супершифрованных каналов связи до порнохаба :)
прикладное применение квантового компутера в многих не IT применениях, на рынке, на бирже, в экономике, в политике сделает с цивилизацией такое, что все твои потуги в шыфрацию никто и не заметит :)
сымай очки, болезный, и смотри на мир ширшее...

[zkrvndm]

pfg21, понимаю я все. Квантовые компьютеры решат кучу проблем, дадут рывок науке и технологиям, но при этом и добавят немало хлопот. Вспомните хотя бы кто и зачем создал первые компьютеры, а создали их военные конкретно для военных целей.

[pfg21]

Надим Закиров, как и любая другая система.
идеального правильного нет - это ж всё таки сообщество людей, а не строгая математическая система :)

[Василий Банников]

Надим Закиров,

благодаря Закону Яровой,

Благодаря закону яровой нужно записывать только трафик за последние толи 6 толи 3 месяца.
Да и его ослабили с учётом сложности закупки необходимого количества дисков и у некоторых небольших провайдеров СОРМ-а всё ещё нет.
+ подбор ключа и расшифровка даже с подходящим компьютером дело не мгновенное, так что все эти архивы ещё долго не расшифруют. По крайней мере не массово.
Ну и + во всяких вконтакте и почте Яндекса/маилру даже и расшифровывать ничего не нужно

[zkrvndm]

Василий Банников, конкретно переписку мессенджеров могут в тихую и 10 лет хранить)

Answer 5

[SagePtr]

Следует также помнить, что TLS защищает только передаваемый трафик. Если вредоносное ПО установлено на клиенте, или администратор сервера недобросовестный, либо сервер под контролем спецслужб - то трафик всё равно будет перехвачен, но не посередине, а в начальной или конечной точке.

Answer 6

[rPman]

Все сказанное другими отвечающими верно, но стоит очень осторожно подойти к вопросу - от кого защищаться

Любой участник выдачи сертификата (удостоверяющий центр, провайдер и место хранения сертификата) может устроить атаку. Так же разработчик браузера это так же может сделать. Браузерные расширения имеют доступ к данным. Любой локально установленный софт, в.т.ч. антивирусное обеспечение, фаервол ) то что локальное а не отдельная железка в сети)

Ещё момент, вирусное приложение у разработчика вашего решения, может оставить в нем трояна, такие случаи были