如果我登录到 - 比如说 - Gmail.com(默认情况下使用 HTTPS),如果我在未加密的无线网络上,我的登录名和密码会被拦截吗?
如果我仍然拥有上一次会话的登录 cookie,这样我就不必重新输入登录名和密码,第三方是否可以访问我的帐户?这里 HTTP 和 HTTPS 之间有区别吗?
答案1
只要中间人攻击未发生(不太可能),您的数据在 https 上是安全的。如果您非常谨慎,请按照我的做法,在非受信任网络上时通过 SSH 隧道代理您的 Web 浏览器。
这里有HTTP和HTTPS的区别吗?
是的,一个通过 SSL 加密,另一个没有。
答案2
事实上,如果没有 HTTPS,所有类型的登录表单都是不受保护/不安全的。即使使用 WEP 或 WPA 变体。所有类型的 wifi 流量加密都很容易解密,因为它们可以获取您和远程服务器之间的所有内容,而无需对您的 PC 或您用于基础设施的任何网络设备进行任何操作。所有数据包都在空中来来去去。任何黑客都可以在未经您信息/许可的情况下保存它们。如果您如此偏执。即使 HTTPS 也不一定安全。
使用您自己的代理/隧道。所有黑客都会根据需要过滤数据包。他们从不保存整个流量。当您在浏览器的地址栏中输入 gmail 时。它会要求输入 UDP 端口 53 上的 gmail 的 DNS 信息。这是黑客开始保存转储时的触发器。要摆脱所有类型的尝试,您只能使用您的代理。一个好的操作系统代理(例如,适用于 Windows 操作系统的代理程序)和一个好的代理/socks 服务器支持非标准解密(在这种情况下,您必须使用带有 SS5 或 Danted 或任何变体的 Linux 远程机器。)
(注 2 Erika,我将此作为评论撰写,但由于字母限制,它不允许我发送)