Задать вопрос
Drew96
@Drew96
информационная-безопасность

Может ли интернет-провайдер узнать данные авторизации через http-подключение?

Возможно, вопрос достаточно глупый, но всё же. Из конкретных примеров: vk.com использует https на всех страницах, но на странице ввода логина и пароля используется http. Почему? Это как-то влияет на безопасность данных?
  • Вопрос задан
  • 435 просмотров
Комментировать
Подписаться 1 Оценить Комментировать
Решения вопроса 2
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Они используют токен.
На безопасность это никак не влияет.
Можно использовать токен (выдаваемый по линку в почту) без всяких https.
Т.е. как двухфакторная регистрация+авторизация (или напомнить пароль по e-mail или смс) по каналам: http и email/sms.
В итоге - создаётся токен (в кукисах) на основе: 2-х ключей и Вашего пароля при входе.
Если даже провайдер знает все 2 ключа, то он не знает Вашего пароля.
Но обычно, почта проверяется по зашифрованному каналу через TLS или через HTTPS (веб-интерфейс): если так, то максимум - провайдер знает только 1 ключ из необходимых 3-х, чтобы восстановить токен без блокировки доступа из-за превышения лимита попыток входа с неверным токеном.
Ответ написан
Комментировать
Комментировать
TanVD
@TanVD
Джуниор C++/QT
Конкретном в данном случае не может. Форма входа передаёт ваш логин и пароль (и некоторые дополнительные параметры обеспечения безопасности) с помощью POST запроса на адрес https://login.vk.com/?act=login . Здесь явным образом используется HTTPS.
Передача вероятнее всего будет произведена за два шага - первый разрешение домена login.vk.com в ip-адрес, при этом для разрешения используется исключительно имя домена, второй - передача POST запроса с помощью HTTP на нужный IP-адрес поверх TLS соединения.
Стандарт TLS гарантирует защиту доступа к информации. Соответственно ваш токен не сможет быть получен кем-либо в скомпрометированной сети в случае, если вы пользуетесь верными сертификатами. Тем не менее в случае отсутствия, к примеру, поддержки DNSSEC на используемых DNS серверах атака подменой DNS записи возможна. Но маловероятна.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 2
PavelK
@PavelK
Может.
Ответ написан
Комментировать
Комментировать
ulkoart
@ulkoart
Если коротко: через http-подключение кто угодно может узнать передаваемые данные, особенно в точках free wifi.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Специалист по информационной безопасности
Данафлекс Казань
от 90 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Сделать простецкого тг бота для подсчёта зп
25 апр. 2024, в 17:50
2000 руб./за проект
Парсер-бот на Python для ТГ-каналов
25 апр. 2024, в 17:35
4000 руб./за проект
Доработать сайт на CS-Cart (статусы товаров и цены)
25 апр. 2024, в 16:56
5000 руб./за проект
Ещё заказы