Sí, el tráfico HTTPS, incluidas las contraseñas, está cifrado. Si la página web HTTP lo redirige a un sitio HTTPS donde las contraseñas se autentican, entonces las contraseñas no están en riesgo ...
... ASUMIENDO (uh oh ...) que la página HTTP lo está redirigiendo al sitio HTTPS que cree que es.
E, incluso si la página HTTP lo redirige al sitio HTTPS que cree que lo hace, hoy en día, puede estar en riesgo continuo de que esto no suceda de la manera que piensa la próxima semana. Entonces, tal vez puedas obtener tus contraseñas.
Vea, con HTTPS, así es como funciona: su navegador web verifica PKI y su tienda local de certificados, y confía en el sitio HTTPS. Entonces las contraseñas están encriptadas, y todo está bien.
El problema con una página HTTP inicial es el siguiente: su navegador web no verifica la página web HTTP. Entonces un atacante ("ataque Man-In-The-Middle") podría notar su tráfico HTTP y enviarle una página de inicio de sesión falsa. La página de inicio de sesión falsa podría hacer esto: envíe sus contraseñas publicadas a un sitio web malicioso, en lugar del sitio HTTPS que cree que está utilizando. Ese sitio web malicioso podría capturar sus contraseñas y luego redirigirlo al sitio web HTTPS, con sus contraseñas publicadas en el sitio HTTPS legítimo. Si se hace muy bien, esto podría ser muy difícil de detectar.
Por lo tanto, la comunicación HTTP ofrece una oportunidad para que te ataquen fácilmente, y puede ser difícil que lo notes. Sin embargo, si no se interfiere con la comunicación HTTP, cuando envíe las contraseñas al sitio HTTPS correcto, debe estar a salvo a partir de ese momento.
Esto supone que el sitio HTTP le proporciona el formulario de inicio de sesión y envía los datos publicados al sitio HTTPS. Si el sitio HTTP hace que publique los datos en una dirección HTTP, y luego es redirigido a HTTPS, entonces es probable que sea bastante vulnerable a que sus contraseñas sean detectadas en este momento.
Un buen sitio web simplemente evitará todas estas preocupaciones mediante el uso de HTTPS desde el principio; tan pronto como la persona obtenga la página de inicio de sesión inicial, si no antes. (Otra técnica que se está comenzando a usar con más frecuencia, particularmente si la seguridad del sitio es realmente importante, redirige todo el tráfico HTTP a HTTPS como primer paso, minimizando así la cantidad de comunicaciones HTTP).
EDITAR: Agregar respuestas a preguntas adicionales:
¿Usar MAC OSX o iPad OSX disminuiría las posibilidades de piratería?
No, en absoluto. Esto ni siquiera es como la teoría de "Mac es inmune a los virus", que tampoco es del todo cierto. Al menos esa afirmación tenía un razonamiento decente: la mayoría del malware (en el momento en que se citaba esta teoría) a menudo estaba diseñado para Microsoft Windows.
No, más bien: los ataques que describe tienen que ver con el tráfico de red. Si usa Mac OSX o iPad IOS, entonces espero que use protocolos estándar como TCP / IP y Ethernet o Wi-Fi. Estos son exactamente los mismos protocolos estándar que el TCP / IP y Ethernet y Wi-Fi que implementan otras plataformas como Microsoft Windows y sistemas operativos basados en Linux. Por lo tanto, el uso de estas implementaciones de Apple no ayudará, ni siquiera un poquito, a protegerlo de la detección de redes.
¿Usar una VPN negaría las posibilidades de piratería? Estaba usando VPN ...
Sí, eso ayudará. Quizás insuficientemente, pero probablemente ayudaría.
Entonces, si tienes una computadora en casa y usas una VPN para enviar tráfico a través de tu ISP a una red en otra ubicación (como donde trabajas, ¿o tu escuela, tal vez?), Entonces alguien podría oler el tráfico a medida que avanza esa ubicación remota al sitio web deseado. Sin embargo, su tráfico web (tanto HTTP como HTTPS) debería ser bastante inmune al rastreo de la red por parte del ISP a medida que va de su casa al otro extremo del túnel VPN. Entonces esto ofrece cierta protección.
Por supuesto, todo eso supone que la tecnología VPN se implementa de forma segura / correcta. Si hay vulnerabilidades, cualquiera de estas técnicas puede fallar. Por ejemplo, incluso el tráfico HTTPS no lo salvará lo suficiente si su navegador acepta certificados hechos por un dispositivo en el medio.
¿Es probable que un hacker cree una página de inicio de sesión falsa?
Si este tráfico es de naturaleza financiera, entonces los piratas informáticos tienen bastante incentivo para realizar dicho ataque.
De lo contrario ... umm ... bueno, parece que he estado leyendo mucho estos días que, incluso para el tráfico menos importante / interesante, los atacantes frecuentemente escanean el tráfico de la red y frustran los mecanismos de seguridad. La respuesta exacta exacta puede depender de cuánto creas en las teorías sobre conspiraciones corporativas / gubernamentales, pero ese comportamiento definitivamente existe.
¿Un servicio de correo web no se daría cuenta de esto?
Sí, el proveedor de correo web podría ignorar esto.
¿Cómo escribiría una dirección de correo web me llevaría a un sitio falso?
Digamos que la dirección de correo web usa HTTP, no a través de una VPN. Soy dueño de una computadora por la que pasa el tráfico de red. (Recuerde, Internet está diseñado para retransmitir el tráfico a través de diferentes redes). Veo que su navegador web envía una solicitud HTTP a http://my-favorite-paid-site.com . Antes de retransmitir el tráfico a http://my-favorite-paid-site.com (si incluso me molesto en hacerlo), envío información a su navegador web. Su navegador web recibe datos, que cree provienen del sitio web, pero en realidad provienen de mí. Su navegador web le muestra un sitio web y afirma que estos datos provienen del sitio web. Sin embargo, en realidad vino de mí.
O, en lugar de atacar la secuencia HTTP, podría enviarle datos diferentes cuando envíe la solicitud de DNS. Hay varios tipos de ataques, y muchos tutoriales y libros e incluso cursos universitarios que cubren dichos conceptos con más detalle. Simplemente busque "MITM" (que significa "Hombre en el medio") para ver algunas formas diferentes de implementar ese tipo de amenaza.