Problem, z którym masz tutaj do czynienia, polega na tym, że jeśli zdecydujesz się nie szyfrować połączenia, przyjmujesz założenia dotyczące wrażliwości danych przesyłanych przez to połączenie.

Niestety, niemożliwe jest prawidłowe założenie, ponieważ:

• Być może nie w pełni zrozumiałeś wszystkie implikacje danych (na przykład, jeśli Twitter nie zaszyfrował danych, mógłby zostać użyty przez rząd agencji w celu wykrycia dysydentów i przeciwników).
• Dane mogą stać się wrażliwe po ich przesłaniu (na przykład udzielenie odpowiedzi „kto był Twoim nauczycielem w pierwszej klasie” na czacie internetowym ze znajomymi ze starej szkoły może prowadzić do kompromisu) konta iTunes później).

Ostatecznie wygląda to tak samo, jak w przypadku wrażliwych dokumentów papierowych: możesz zdecydować się na zniszczenie tylko wrażliwych dokumentów, ale wszystko, czego potrzeba, aby model crumble to pojedynczy błąd. O wiele łatwiej jest po prostu bezpiecznie zniszczyć WSZYSTKIE dokumenty i nie martwić się o sortowanie.

Biorąc pod uwagę stosunkowo niski koszt i użycie zabezpieczeń połączenia oraz fakt, że chroni Cię to przed wszystkimi powyższymi problemami (głównie), sprawia, że o wiele bardziej sensowne jest szyfrowanie wszystkiego, co ma na celu wybranie „właściwej” treści do zaszyfrowania.

Szyfrowanie to nie tylko uniemożliwienie osobom podsłuchującym odczyt danych, ale także uniemożliwia im ich zmianę.

Odwracanie obrazów na stronach internetowych do góry nogami to zabawny żart, który można zrobić ze współlokatorów ale złośliwa osoba może umieścić reklamy lub szkodliwy kod (Java, Javascript, Flash itp.) na Twoich stronach internetowych bez Twojej wiedzy.

http://www.ex-parrot.com/ pete / upside-down-ternet.html

Oprócz innych dobrych odpowiedzi dodałbym, że HTTPS zapewnia, że ​​kiedy myślę, że czytam bbc.com , naprawdę czytam treści dostarczone przez bbc.com , a nie wroga strona trzecia, która chce mnie oszukać.

Niektóre serwisy informacyjne wciąż przedstawiają fakty. Ludzie podejmują decyzje na podstawie tych faktów - decyzji, które mają realne konsekwencje.

Ogólnie rzecz biorąc, chciałbym dodać do powyższych odpowiedzi, że nawet jeśli nie robisz czegoś wysoce nielegalnego w zachodnim kraju, nie powinieneś zakładać, że rząd nie jest zainteresowany tym, co czytasz. Przeczytanie poniższych informacji może umieścić Cię na liście:

• Utajnione, dokumenty ujawnione przez sygnalistów, które są technicznie nielegalne
• Witryna z wiadomościami lub magazyn w kraju muzułmańskim mieszkasz w Stanach Zjednoczonych)
• Witryna z wiadomościami lub magazyn itp. z siedzibą w Stanach Zjednoczonych, jeśli mieszkasz w Chinach lub w kraju muzułmańskim.

Ogólnie rzecz biorąc, wiemy, że wiele rządów tworzy profile osób, które odwiedzają określone witryny, a Ty możesz chcieć zachować prywatność swoich interesów politycznych. Jako przykład dowolnego źródła wiadomości, nawet biorąc pod uwagę same Chiny i żaden z powyższych powodów nie jest wystarczający.

Edytuj: Steve poniżej przypomniał mi, że w tej sytuacji odwiedzana strona jest prywatna, ale nie stronie internetowej. Więc musisz być tego świadomy.

Zgodnie z ogólną zasadą dobrą zasadą jest silne szyfrowanie wszystkich danych przesyłanych w sieciach publicznych.

Powodem jest to, że jeśli zaszyfrowane są tylko „wrażliwe” dane, osoby podsłuchujące bardzo łatwo mogą namierzyć potencjalnie przydatne dane, po prostu wyszukując wszystko, co jest zaszyfrowane.

Jeśli jednak wszystko jest domyślnie szyfrowane, to nie mają pojęcia, jakie informacje są przydatne, dopóki ich nie odszyfrują.

Biorąc pod uwagę, że odszyfrowanie (bez klucza) jest stosunkowo drogie pod względem mocy obliczeniowej, podczas gdy szyfrowanie jest dość tanie i żaden system szyfrowania nie jest całkowicie bezpieczny, najlepszym sposobem na zapewnienie bezpieczeństwa danych jest zaszyfrowanie absolutnie wszystkiego za pomocą silnego szyfrowania, nawet informacje, które są trywialne lub znajdują domena publiczna.

Myślę, że to naprawdę zależy od zakresu definicji „danych wrażliwych”. Hasła i numery kart kredytowych to z pewnością jedno, ale być może wyszukiwanie w WebMD informacji o wysypce, podczas gdy są to ogólnie informacje publiczne, może być czymś, na co jesteś wrażliwy i nie chcesz, aby pracodawca lub Twój dostawca usług internetowych wiedział bez względu na prawa i użycie argumentów dotyczących sprzętu roboczego). A może śledząc wiadomości i wybory, niekoniecznie chcąc ujawnić swoją przynależność. Wiadomości o wyborach są jawne, ale to, które z nich czytasz, może nie być czymś, co chcesz ujawniać. Ogólnie rzecz biorąc, same informacje mogą należeć do domeny publicznej. Kto uzyskuje dostęp do jakich informacji i co może podlegać profilowaniu, niekoniecznie musi być. W tym miejscu szyfrowanie może być przydatne (i oczywiście inne technologie ponownie udostępniające takie informacje - po prostu podając argument ściśle związany z szyfrowaniem).

Wiele witryn z wiadomościami / gazetami udostępnia konta dla dodatkowych funkcji, subskrypcji itp. Wymuszanie całego ruchu internetowego przez SSL zmniejsza ryzyko, upewniając się, że nikt nie może zalogować się przy użyciu niezaszyfrowanego połączenia.

Ogólnie lepiej jest kiedy ktoś jest bezpieczny niż kiedy jest mu przykro. W dzisiejszych czasach HTTPS nie jest tak dużym narzutem jak kiedyś, więc dlaczego nie szyfrować wszystkich połączeń, aby mieć pewność?

Kilka informacji wstępnych, zanim przejdę do odpowiedzi:

Uważam, że telefony są fascynujące, a jednym z najciekawszych telefonów, z którymi się spotkałem, był STU lub Secure Telephony Unit, który zasadniczo składał się z a / dd / a niektóre kodeki audio, cyfrowy moduł szyfrujący, modem i obwód obejściowy, wszystkie umieszczone w telefonie i w większości podłączone do zwykłych linii telefonicznych i publicznej sieci telefonicznej. Były bardzo popularne w czasie zimnej wojny. Podstawowym sposobem ich użycia jest podniesienie słuchawki, weryfikacja sygnału wybierania, nawiązanie połączenia, sprawdzenie, czy trafiłeś pod właściwy numer, zgoda na uruchomienie trybu bezpiecznego, obie parzystości przekręciłyby klucz, aby zainicjować tryb bezpieczny, czekanie na synchronizację krypto , prowadź bezpieczną rozmowę, zgódź się na zakończenie trybu bezpiecznego, przekręć klucz na niepewny, zakończ połączenie.

Podczas moich badań nad STU natknąłem się na relację kilku rosyjskich szpiegów omawiających przechwytywanie połączeń między STU. Chociaż ci agenci terenowi nie byli w stanie poznać treści zaszyfrowanej rozmowy, podjęli szczególny wysiłek, aby słuchać wszystkich połączeń na linii, do której było podłączone STU, oprócz nagrywania zaszyfrowanej rozmowy do analizy, powiedzieli, że nauczyli się wszelkiego rodzaju interesujące i cenne rzeczy z niezaszyfrowanej części połączeń, trochę poza tożsamością stron rozmowy.

Morał tej historii: nawet jeśli nie sądzisz, że informacje jest cenny, wróg może. (niezależnie od tego, kim myślimy, że wróg jest)

Ponieważ tak naprawdę nie wiesz, co można wywnioskować z danych, które emitujesz. Odkąd całe zamieszanie w NSA pojawiło się w wiadomościach, wiele osób myśli: „tak, prawda, NSA wie o e-mailach, które wysyłam do mojego małego kuzyna i moich nawykach zakupowych? I co z tego?”.

Niestety weszliśmy w erę BigData i uczenia maszynowego. Nie chodzi tylko o przetwarzanie ogromnych baz danych w celu uzyskania modeli i prognoz. Osobiście uważam, że uczenie maszynowe to ogromny krok naprzód w naukach ścisłych. Stanowi to przejście od metod analitycznych do tego, co nazwałbym metodami metaanalitycznymi. „Dawno temu” zaczynałbyś od danych pochodzących z jakiejś domeny (powiedzmy, demograficznej), analizowałeś je za pomocą jakiejś struktury analitycznej, która pasuje do domeny , i uzyskaj wynik w kategoriach tej domeny (np. model do przewidywania wzrostu danej populacji).

Uczenie maszynowe działa na powyższym poziomie: ma własny zestaw narzędzi i metod analitycznych, ale służy do budowania „mózgów elektronicznych”, które przeprowadzą właściwą analizę. Bezpośrednią konsekwencją tego jest to, że łatwiej jest wiązać domeny i wykonywać między nimi zależności krzyżowe. Na przykład można przewidzieć, gdzie będziesz za 24 godziny na podstawie niektórych danych z Facebooka.

Lub sprawdzić, czy kobieta jest w ciąży, patrząc na to, co kupuje.

Target przewiduje ciążę dzięki Big Data.

Po zakupach w Target dziewczyna zaczęła odbierać pocztę w domu ojca artykuły reklamowe dla niemowląt: pieluchy, odzież, łóżeczka i inne produkty przeznaczone dla dzieci. Jej ojciec był zdenerwowany próbami „zachęcania” firmy do ciąży u nastolatków i złożył skargę do kierownictwa. Kilka dni później zawstydzony tata zadzwonił do kierownika, aby przeprosić; wyglądało na to, że jego córka faktycznie była w ciąży. Nie jest to niezwykłe zjawisko w przypadku dzisiejszych komputerowo wspomaganych gromadzenia danych przez sklepy detaliczne. Target przypisuje klientom numer identyfikacyjny gościa powiązany z ich imieniem i nazwiskiem, kartą kredytową, adresem e-mail i wszystkimi innymi informacjami, które sklep może zebrać. Korzystając z informacji o wcześniejszych zakupach, Target jest w stanie stworzyć zaskakująco dokładny profil do wykorzystania w reklamach dostosowanych do klienta.

Oczywiście przeceniam siłę uczenia maszynowego (i zaniżam znaczenie wiedzy / ekspertów w danej dziedzinie). Perspektywy są jednak trudne: identyfikacja gejów lub przeciwników politycznych na podstawie pozornie niezwiązanej z nimi działalności może zostać osiągnięta przez rządy lub organizacje działające w złych intencjach, co wydaje się prawdopodobne. Mogliby nawet stłumić rewolucje, zanim ludzie mieliby szansę zaprotestować na ulicach. Itd ...

Myślę, że jest to bardzo ważna kwestia dla naszych nowoczesnych społeczeństw, tym bardziej, że nie została zidentyfikowana jako jedno z wielkich wyzwań etycznych tego stulecia, w przeciwieństwie do inżynierii genetycznej człowieka.

Jednym z punktów, który często jest pomijany w tej dyskusji, jest fakt, że SSL szyfruje również adres URL strony, którego używasz podczas uzyskiwania dostępu do witryny.

Jeśli ktoś podsłuchiwał Twoje połączenie, (NSA?) i odwiedzałeś witrynę, która nie była udostępniana przez SSL, ktoś mógł zobaczyć, do których stron uzyskujesz dostęp, i utworzyć wokół Ciebie profil na podstawie Twoich nawyków przeglądania.

Jeśli odwiedzasz witryny z włączonym protokołem SSL, nie jest tylko zawartość strony, która jest zaszyfrowana, ale rzeczywisty adres URL strony (ścieżka na serwerze), który również jest szyfrowany.

Więc jeśli ktoś podsłuchuje, wie tylko, które domeny odwiedzasz. Nie mogą powiedzieć, do jakich stron masz dostęp.

Wszystkie główne punkty zostały omówione, ale pomyślałem, że warto omówić ten konkretny scenariusz:

Popularne było / jest szyfrowanie strony logowania, a następnie zezwalanie uwierzytelnionemu użytkownikowi na dalsze przeglądanie witryny w niezaszyfrowane połączenie (aby zaoszczędzić cykle procesora na serwerze). To pozornie wydajne i oszczędne użycie szyfrowania jest w rzeczywistości prawie bezużyteczne.

Pozwala mitm przechwytywać pliki cookie sesji, a następnie w pełni podszywać się pod Ciebie w danej witrynie. Możliwe, że pozwolisz im zmienić dane logowania lub nawet odzyskać hasło w postaci zwykłego tekstu.

NAPIS ZAPRASZAM NA NICI: Ale co, jeśli czytam tylko witrynę z wiadomościami? Każdy ma do tego dostęp, nawet w gazetach. Jaki jest sens szyfrowania tak łatwo dostępnych informacji?

MOJA ODPOWIEDŹ: Tak, wszystko na stronie z wiadomościami jest publiczne; ale czy czułbyś się komfortowo z kimś stojącym nad Twoim ramieniem, gdy jesteś z komputerem w kawiarni, korzystając z Wi-Fi, na przykład sprawdzając, które artykuły zdecydujesz się przeczytać? A co, jeśli witryna z wiadomościami ma jednak login, aby czytelnicy mogli dostosować kanał? Czy to nie wymaga zaszyfrowania części tego, co robisz? Między tymi dwoma rzeczami właścicielowi witryny łatwiej jest po prostu zaszyfrować wszystko.

NAPIS POCZĄTKOWY NITKI: Wielu użytkowników ma profile w publicznych sieciach społecznościowych, w których są wymienione ich zainteresowania, przekonania polityczne i religijne lub te informacje można łatwo znaleźć na ich osobistych blogach i stronach internetowych. Nie postrzegają tego jako zagrożenia dla swojego życia osobistego, więc nie chcą tego ukrywać. W jaki sposób przeglądanie niezaszyfrowanych popularnych treści publicznych może im zaszkodzić? W jaki sposób szyfrowanie takich stron chroni ich prywatność?

MOJA ODPOWIEDŹ: Niektórzy z nich nie dbają o swoją prywatność. Mają, jak to ujęła psycholog Sherry Turkle, mentalność typu „ podzielam, więc jestem”. W każdym razie, tak jak w poprzednim przykładzie, nawet ci, którzy tak swobodnie udostępniają, muszą zalogować się na wspomniane strony, aby coś zmienić, nie? I to musi być zaszyfrowane, prawda? Ponadto ci, którzy czytają ich informacje, mogą nie chcieć, aby inni w kawiarni, w której używają laptopa, wiedzieli, że patrzą na taką a taką stronę sieci społecznościowej.

Dowiedz się, co nazywa się „ sidejacking ”, czyli ktoś siedzi przy innym stole ze swoim laptopem w kawiarni, w której również używasz laptopa, a oboje jesteście na tym samym WI-FI LAN, może używać prostego rozszerzenia Mozilla Firefox o nazwie „Firesheep”, aby „widzieć” na swoim ekranie wszystko, co robisz na komputerze przy stole po drugiej stronie pokoju. Lub może używać swojego telefonu z Androidem i czegoś o nazwie „DroidSheep”, aby osiągnąć to samo. Są też inne, podobnie nikczemne narzędzia.

Czy zrobienie tego z Tobą byłoby w porządku? Gdy już się zorientujesz, czy nie byłoby miło, gdyby witryna, z której korzystasz, miała właśnie włączony protokół SSL, a dostęp do tej witryny był przez https: // zamiast zwykłego http://”?

Właśnie dlatego istnieją rozszerzenia do przeglądarki Firefox i Chrome, takie jak „ HTTPS Everywhere”: do automatycznego przełączania tysięcy witryn z niezabezpieczony „http” w celu zabezpieczenia „https”, chroniąc w ten sposób przed wieloma formami inwigilacji i przechwytywania kont / sidejackingu; aw krajach mniej wolnych niż Stany Zjednoczone nawet niektóre formy cenzury.

Wszystkie strony internetowe powinny już używać SSL dla wszystkich treści. Kropka. Powinno to być tak samo normatywne, jak to, że musimy się ubrać przed wyjściem z domu.

Mam nadzieję, że to pomoże!