Задать вопрос
Drew96
@Drew96
информационная-безопасность

Может ли интернет-провайдер узнать данные авторизации через http-подключение?

Возможно, вопрос достаточно глупый, но всё же. Из конкретных примеров: vk.com использует https на всех страницах, но на странице ввода логина и пароля используется http. Почему? Это как-то влияет на безопасность данных?
  • Вопрос задан
  • 438 просмотров
Комментировать
Подписаться 1 Оценить Комментировать
Решения вопроса 2
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Они используют токен.
На безопасность это никак не влияет.
Можно использовать токен (выдаваемый по линку в почту) без всяких https.
Т.е. как двухфакторная регистрация+авторизация (или напомнить пароль по e-mail или смс) по каналам: http и email/sms.
В итоге - создаётся токен (в кукисах) на основе: 2-х ключей и Вашего пароля при входе.
Если даже провайдер знает все 2 ключа, то он не знает Вашего пароля.
Но обычно, почта проверяется по зашифрованному каналу через TLS или через HTTPS (веб-интерфейс): если так, то максимум - провайдер знает только 1 ключ из необходимых 3-х, чтобы восстановить токен без блокировки доступа из-за превышения лимита попыток входа с неверным токеном.
Ответ написан
Комментировать
Комментировать
TanVD
@TanVD
Джуниор C++/QT
Конкретном в данном случае не может. Форма входа передаёт ваш логин и пароль (и некоторые дополнительные параметры обеспечения безопасности) с помощью POST запроса на адрес https://login.vk.com/?act=login . Здесь явным образом используется HTTPS.
Передача вероятнее всего будет произведена за два шага - первый разрешение домена login.vk.com в ip-адрес, при этом для разрешения используется исключительно имя домена, второй - передача POST запроса с помощью HTTP на нужный IP-адрес поверх TLS соединения.
Стандарт TLS гарантирует защиту доступа к информации. Соответственно ваш токен не сможет быть получен кем-либо в скомпрометированной сети в случае, если вы пользуетесь верными сертификатами. Тем не менее в случае отсутствия, к примеру, поддержки DNSSEC на используемых DNS серверах атака подменой DNS записи возможна. Но маловероятна.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 2
PavelK
@PavelK
Может.
Ответ написан
Комментировать
Комментировать
ulkoart
@ulkoart
Если коротко: через http-подключение кто угодно может узнать передаваемые данные, особенно в точках free wifi.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Старший специалист по информационной безопасности (аттестация ОИ)
Гринатом Москва
До 120 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Нужен верстальщик. Переверстать, доверстать, доработать интерфейс
22 нояб. 2024, в 16:13
7000 руб./за проект
Доработка и исправление ошибок в работе Личного кабинета сайта
22 нояб. 2024, в 15:59
35000 руб./за проект
Рефакторинг vue.js/nest.js интерфейса у админки
22 нояб. 2024, в 15:50
150000 руб./за проект
Ещё заказы