Чем грозит регистрация на сайте без защищенного соединения?

Question

[GenGenTe]

Есть один пиратский фри сервер некой ММОРПГ, я хочу в это поиграть. Но меня дико смущает то, что их официальный сайт и форум с незащищенным соединением. Я еще ни разу не имел дело с такими сайтами, где можно регистрировать аккаунты и при этом не иметь защищенного соединения. Я вообще не разбираюсь во всей этой теме, я не tech savvy, поэтому, собственно и вопрос: чем я рискую, если зарегистрируюсь на таком сайте? Firefox предупреждает, что монжо скомпрометировать пароли, данные кредитных карт и тд и тп. У меня в браузере сохранены данные моей карты и некоторые пароли, этот сайт не сможет их "угнать"? Я так полагаю, для безопасности, мне просто при регистрации нужно не использовать пароль, который я уже где-ибо использую, чтобы не взломали меня, если что, правильно? И всё? Больше никаких предосторожностей делать не нужно? Не опасно ли email им свой указывать и подтверждать регистрацию через письмо, которое придет?
Я просто не понимаю, почему они не сделали по стандарту защищенное соединение. Спросил их в тех поддержке, они ответили, что "ну это же просто фри сервер, нет протокола https чо такова". Ну вот я и хочу вас спросить, а чо, собственно, такова в этом?

Answer 1

[АртемЪ]

Все что вы передаете по незащищенному соединению - потенциально может быть перехвачено на любом этапе передачи.
Данные же передаваемые по https перехватить значительно сложнее.

Поэтому пересылать конфиденциальные данные по http не рекомендуется.

Если же речь идет о данных которые вы не считаете конфиденциальными - никаких проблем.

У меня в браузере сохранены данные моей карты и некоторые пароли, этот сайт не сможет их "угнать"?

Это никак не зависит от типа соединения.

Я так полагаю, для безопасности, мне просто при регистрации нужно не использовать пароль, который я уже где-ибо использую, чтобы не взломали меня, если что, правильно?

Именно так.
Один из самых популярных способов взломов аккаунтов - вы зарегистрировались на каком-то малоизвестном сайте указав в качестве логина почту vasya@mail.ru и пароль. После чего злоумышленники попробуют зайти с этим паролем в вашу почту, и во все крупные сервисы, где вы потенциально можете быть зарегистрированы.
Поэтому пароли обязательно разные.

Не опасно ли email им свой указывать и подтверждать регистрацию через письмо, которое придет?

Нет. Если не учитывать конечно в качестве опасности спам.

Я просто не понимаю, почему они не сделали по стандарту защищенное соединение.

А нафига? Вы на дачном сарае с лопатами и тяпками повесили надежный сейфовый замок?

Спросил их в тех поддержке, они ответили, что "ну это же просто фри сервер, нет протокола https чо такова".

Логично.

пиратский фри сервер некой ММОРПГ, я хочу в это поиграть. Но меня дико смущает то, что их официальный сайт и форум с незащищенным соединением

Я бы наоборот удивился если бы они заморочились с https.

Comments

[historydev]

Как по мне это заблуждение для рядовых юзеров, мошенник может юзать https соединение при этом являясь владельцем сервиса, а человек будет думать: "Ну раз https, наверно безопасно карту ввести".

[АртемЪ]

Владимир, Никаких заблуждений. Надо просто понимать что и для чего.
https соединение никоим образом и никогда не защищает вас от того, с кем вы устанавливаете соединение!

Оно просто делает ваше общение приватным - никто подслушать не может.
Соответственно детали вашего общения будете знать только вы и ваш собеседник.

Так же сертификат соединения может помочь вам установить личность собеседника - кому именно вы данные отправляете. Но тут все зависит от уровня сертификата и доверия к центру сертификации.

Поэтому карту вводить можно только на сайте организации которой вы доверяете, предварительно проверив что в сертификате указанна именно эта организация, и сертификат выдан центром сертификации которому вы доверяете.

[АртемЪ]

В большинстве случаев для пользователя никакой выгоды от использования https в большинстве случаев нет.
Но иногда это полезно - например если вы покупаете в интернет магазине, по незащищенному соединению, детали вашего заказа, ваш адрес и прочая информация может быть перехвачена сторонними лицами и использована против вас.

[historydev]

АртемЪ, да я то ещё в подгузниках это знал, я про домоседок, работяг и сирот например, они ведь глупые в сети, у них есть одноклассники или вк, а вот предложат им машину за пополнение баланса за 300 рублей, они же пополнят)

[historydev]

АртемЪ, P.S.: Я не зря написал

для рядовых юзеров

, а вы мне тут разжевали как для одного из них))) Спасибо конечно)

[АртемЪ]

Владимир, Ну мошенников навалом, но https тут никаким боком.
Рядовой юзер даже не заметит того что там https.

[Владимир Коротенко]

Https легко ставится, риски перехвата сильно преувеличены, нафиг провайдеру ваш емаил? До него же идёт vpn в какой либо модификации. Что действительно подкашивает https то это всякое кэширование, допустим вы скачиваете кучу карт и прокси из кэширует, а если https то нет

[historydev]

АртемЪ, Все браузеры выдают красное окно предупреждения если http соединение, а при https оно зелёное, заметит ещё как)

[АртемЪ]

Владимир, Вот вот - зеленое, красное, замочки какие-то. Что это означает непонятно.
Сайт открылся - хорошо, не открылся плохо.
Чисто из моей практики обычные пользователи вообще на это внимания не обращают.

[historydev]

АртемЪ, на красное обращает) Если сайт без вирусов и на бесплатном хосте или http у него, его в 99% случаев закроют

Answer 2

[maaGames]

Пиратский сервер. Смущает...
Если не будете на этом сервере указывать банковские данные и тому подобное, то ничего страшного, скорее всего, не случится.
А вот установка пиратской пропатченной версии игры (при инсталляции клиента отключите антивирус, там ложное срабатывание, честно-честно, никакого трояна) может привести к утечке любых ваших данных. Я не утверждаю, что там есть вирус, но вероятнось этого есть.

У меня есть специальный ящик для спама, через который я регистрируюсь где-попало. Пароль, разумеется, должен быть уникальный для каждого ресурса. Одинаковый пароль может быть только на тех ресурсах, потеря которых для вас не важна. Регистрироваться можно через Тор-браузер. Тогда и все ваши данные в безопасности и некоторая анонимизация.

Answer 3

[CityCat4]

чем я рискую, если зарегистрируюсь на таком сайте?

Тем, что данные, которые используются для регистрации - мыло, пароль - будут доступны всем, кому не лень. Держать сейчас форум на сайте без https - это даже не безалаберность, это явный признак того, что их (данные) тырят.
Если мне приходится региться в таком гадюшнике - я как правило завожу отдельный ящик (обычно на гмыле), отдельный уникальный пароль (не обязательно сложный) - и пусть пытаются что-то с этого поиметь :)

Comments

[АртемЪ]

Тем, что данные, которые используются для регистрации - мыло, пароль - будут доступны всем, кому не лень

Не пойму логики. Вот так вот прям все резко кинутся перехватывать незащищенный трафик с какого-то малозначимого ресурса? Сомнительно.
А если владелец раздает такие данные направо и налево или сам является мошенником - от этого никакой https не спасет.

Насчет регистрации на всяких гадюшниках - согласен. Рабочий ящик лучше не светить.

Answer 4

[xmoonlight]

1. Включаете в браузере анонимный режим.
2. Находите сервис временной почты.
3. Получаете временный e-mail адрес.
4. Регитесь с неиспользуемым (вами) паролем.
5. Скачиваете то, что хотели.
6. Проверяете антивирусом то, что скачали.
7. Забываете временный акк на след. день.

Нужно ещё что-то скачать (не в этот день, а позднее) - повторяете всё с пункта 1.

PS: Можно использовать tor-браузер для большей анонимности.