Каковы векторы атаки для паролей, отправленных по http?

Данные уязвимы где угодно вдоль маршрута, не только первой или последней стадии. Довольно возможно, что система, вовлеченная в передачу, находит имена пользователей, пароли и другие уязвимые данные. Это следует поэтому, что уязвимые данные должны только переместиться по ссылке, которая защищается полностью и конечно который является точно, для чего SSL. В зависимости от того, какие данные включены, могут быть локальные законы, которые диктуют SSL.

Существуют прокси-серверы, которые могли бы хранить данные.

Но существует также обязательство бережно хранить пользовательские пароли. Многие пользователи используют ограниченный набор паролей, таким образом, небезопасный сайт мог бы поставить под угрозу их homebank пароль, например.

Ваш анализ разумен, по моему скромному мнению.

Вещь отметить, я предполагаю, состоит в том, что могли быть кэши в Вашем пути. Таким образом, может случиться так, что запрос зарегистрирован где-нибудь (особенно, если бы вход в систему закончен, ДОБИРАЮТСЯ, который был бы ужасен).

Вероятно, вещь рассмотреть состоит в том, что большая часть доступа к сети происходит в области, где существует много других людей в той же сети. Причем Work/Uni/School является основными примерами. Дома Вы могли утверждать, что это менее опасно, потому что это - только пути вверх, Вы должны быть обеспокоены.

Но действительно, здесь нет никакого вопроса. Вы используете SSL при входе в систему. Вероятно, наиболее убедительный аргумент в пользу парня будет то, что это заставляет Ваш веб-сайт казаться более защищенным, как - идеально - широкая публика никогда не входила бы в систему сайта, который не имеет основанного на SSL экрана входа в систему.

Но позволяет быть реалистичным. Почти наверняка этот вектор атаки не является способом, которым будут скомпрометированы его система или пользователи.

HTH.

Я могу согласиться с размышлениями KevinM к ответу на его собственные вопросы, и John Gardeniers указывает в корректном направлении. Я должен также согласиться с тем, в чем шелковистый сказал, "идеально - широкая публика никогда не будет входить в систему сайта, который не имеет основанного на SSL экрана входа в систему". и укажите, что это, однако, не современный случай вообще.

Я не соглашаюсь с тоном silky (вероятно, неумышленный), который приводит к повсеместному восприятию, которое, "широкая публика", глупо. У клиента KevinM ясно нет понятия потребности в SSL, и это - Ваш средний человек вкратце. Они не глупы, они просто не знают. Сказать, "Вам нужно, это", будет незаконный ответ, "я жил x годы без него, и я буду жить x больше очень хорошо" или возможно даже худший ответ, "Я очень не хочу быть сказанным то, в чем я нуждаюсь". Так, быть осторожным!

Ваше опасение является обоснованным, Kevin. Вашему клиенту действительно нужен сертификат SSL. Я думаю, что Ваше реальное беспокойство должно быть то, как продать их один. Это не только пользовательские логины, которые будут касаться, но и администратор и логины оператора, которые также извлекли бы выгоду из того, чтобы быть защищенным SSL.

Да, существуют другие вещи, которые будут касаться в этом отношении, еще больше, чем пакетный сниффинг, такие как XSS. Они являются многочисленными, и хорошо зарегистрированные.

во всем маршруте, сопровождаемом пакетом, если по HTTP может быть сниффинговым и данные видны... даже при использовании HTTP в Прокси как TOR... с помощью нападения сбора урожая и т.д. можно обмануть Прокси для утечки пакетов данных... поэтому, если существует что-нибудь близко к чувствительному (пароли, персональные данные, частные изображения, и т.д.)... это только подходит для передачи их по HTTPS.

Это также, даже HTTPS уязвим с неправильной реализацией, и их несколько Нападений SSL, применимых по нему... все еще их можно избежать с тщательной реализацией.

Но, использование HTTP для простого текста похоже на приглашение даже новичок n/w дети для сниффинга далеко паролей.