標籤:

透過公共 Wi-Fi 熱點上網可能會面臨哪些安全風險?如何保障安全?

11-16

常常需要在公共場合(如咖啡館、酒店等)使用wifi上網,涉及到郵件收發,網上帳號登錄等,這樣上網是否安全,帳號被盜、數據被竊聽的概率高不高?怎樣的措施能做到相對安全?

下面是我去年寫的一篇短文,也許對你有幫助。

安全風險漫談之三:免費WiFi和網銀

作者:http://weibo.com/tombkeeper

用商家提供的免費WiFi上網購物和操作網銀安全嗎?

不安全。

你會用那些免費WiFi上網購物和操作網銀嗎?

有可能。不過我會準備一張銀行卡專門用於這種情形下的網路購物,這張卡餘額不會超過1000元,並使用和其它銀行卡完全不同的密碼。

明知不安全你還用?

如我在《安全風險漫談之一:後門和借錢》中所述,處理不同價值的資產時,對風險的態度是不一樣的。通過控制風險涉及的資產價值,可以實現方便和安全之間的平衡。不因噎廢食,也不因食忘噎

免費WiFi為什麼不安全?

很多免費WiFi傳輸都不加密,加密的那些密碼也很容易得到——問店員。最重要的是:當你接入一個叫「Starbucks」的接入點時,你無法確認這是星巴克提供的,還是猩疤客提供的。需要強調的是:這些是WiFi的通病,免費不免費都一樣存在這些問題

網銀不是都HTTPS通信嗎?HTTPS不是安全的嗎?
網銀不是有「U嗎?用「U還不安全嗎?

這類問題大概相當於「穿防彈衣還會被槍打死嗎」?

HTTPS是一個大概念,其中包含了若干種演算法和子協議,這些演算法和子協議中的某些已經被找到了攻擊方法。例如BEAST、CRIME、Padding、Lucky 13等技術。

設計的理想和實現的完美是兩回事。據我們測試,特別是一些手機上的瀏覽器,在HTTPS的具體實現上有比較嚴重的問題,很容易受到攻擊。

最重要的是:攻擊網銀根本用不著和HTTPS或是U盾直接對抗。

面對一座固若金湯的城池,只能硬拼強攻?攻擊者的目標並非突破城牆,而是進入城內。所以三千年前希臘人就選擇了另一條路,讓認為自己有HTTPS和U盾就可高枕無憂的特洛伊人吃了一驚,然後把他們都殺了。

當你連接了一個「猩疤客」的WiFi接入點,攻擊者有非常非常多的方法在你的系統上植入木馬(就像3000年前希臘人乾的那樣)。

而在系統被植入的木馬控制後,當希臘士兵藏在木馬里進入特洛伊城之後,一切就是另一回事了。

我們協助某銀行處理過一個案件:用戶在使用了U盾的情況下,通過網銀被盜轉近百萬元。這事沒有公開報道,我也不能透露具體犯罪手段,不能提供當事人姓名聯繫方式家庭住址等細節來證明真有其事,我甚至都不能告訴你是哪家銀行,因為要替客戶保密。不過,如果公開報道可以讓你相信此事——2011年4月15日《新京報》第A14版刊載過一起案件:某用戶在使用了U盾的情況下,被盜轉30萬元。

如需要看更多案例請搜索關鍵字「U盾 + 仍被盜」。

注1:前些年我們和國內一些銀行合作,對網銀安全進行過長時間的研究,結論是:至少對當時的網銀來說,攻擊者入侵用戶電腦後,在有U盾的情況下仍然可以實現盜取。銀行後來根據我們提交的報告進行了改進,現在好多了。譬如在使用了有顯示屏和按鍵的新型U盾後,類似前面提到的《新京報》所刊載那起案件中的犯罪手法就無效了。

注2:「U盾」是用於身份認證的有存儲數字證書等安全功能的USB安全設備的俗稱之一,本文中泛指所有此類設備。

2013年7月7日

謝邀。

在 @黃瑋 及其他同學答案的基礎上,我來舉例特別的乾貨吧。

你接入了公共 Wi-Fi,黑客在坐等黑你,你以為訪問 HTTPS 網站就沒事?你以為繼續上 XX 聊著天就沒事?你以為手機上收發郵件就沒事?

牢記:安全是一個整體,黑客在等待那個突破口。

當你認為自己熟讀:隱私大爆炸,你得學幾招保護自己——By @餘弦 2014. 認為自己已經身經百戰,實際上當碰上大黑客,你還是沒法逃掉,不是你的安全意識不夠,是黑客太厲害。

1. 攻破 XX

你上著 XX 聊天,XX 認證與消息都密文傳輸,在這樣的 Wi-Fi 環境下,黑客怎麼黑掉你呢?
[本著負責任的態度,隱掉細節,且用 XX 代表某龐大業務]
XX 是一個多麼大的體系,這個體系下太多資源的傳輸是非 HTTPS 的,既然非 HTTPS,那基本就是明文,明文里的 Cookies 很有趣,Cookie 有這麼幾個關鍵欄位:

name - Cookie 名;
value - Cookie 值;
domain - Cookie 設置在的域名,比如 .http://xx.com,這個太關鍵了,但是很多人不懂為什麼;
path - Cookie 設置在的路徑,比如 /xxx/,這個也比較關鍵,還是很多人不懂為什麼;
expires - Cookie 的過期時間,這個算關鍵;
httponly - Cookie 的 HttpOnly 標誌,如果有則表明無法通過 JavaScript 獲取到,但這個在 Wi-Fi 環境下沒什麼意義,很多人無所謂這個……
secure - Cookie 的 Secure 標誌,如果有則表明 Cookie 需強制在 HTTPS 下傳輸,很多人無所謂這個……

我這樣一列,很多人這樣一看,發現太複雜了。是的,正因為複雜且重要,Cookies 安全才那麼多人沒做好。

不是你安全意識不夠,是黑客太厲害,且你用的業務太複雜……

到這,黑客拿到這個傳輸的明文 Cookies 時,真的能黑掉 XX 嗎?小黑客搖頭嘆氣了,但是在大黑客眼裡這是分分鐘的事,由於 XX 業務複雜與龐大,導致 Cookies 這塊的安全實際上想做完美是非常難的事(其他家的業務同理),拿到明文 Cookies 後,有幾個關鍵的 Cookie 是可以攻破 XX 安全體系的。

2. 你根本不知道正在用的 Web 或客戶端或 APP 在傳輸著明文

比如某些郵件的手機 APP,你實在無法想像居然用 HTTP 快樂地傳輸……

----------------------------

防禦

我對我用的每個軟體幾乎都算了解,我心中有數他們的安全性,所以在這種環境下,我儘可能不用那種不靠譜的軟體,但對於大眾來說,我建議:

  1. 如果真要在這種 Wi-Fi 環境下上網,要麼就用上靠譜的 VPN,全網流量走 VPN,前提是這個 VPN 真的靠譜;
  2. 上網時用瀏覽器的隱身模式,不要登錄賬號了;
  3. 還是別上 XX 聊天了;
  4. 手機 3G 吧,XX 聊天可以在手機進行;
  5. 不要過分依賴 HTTPS 的安全性,雖然 HTTPS 本身在傳輸上幾乎是絕對的安全。

EOF.

餘弦,來自知道創宇,公眾號:懶人在思考(ID:Lazy-Thought)。

上面幾位同學的答案很充分,特別是黃瑋同學,下面我以我科,中國科學技術大學的wifi系統舉個例子。

1. 科大wifi的SSID是ustcnet,沒有密碼。因此顯然可以被監聽。
這是無加密問題。

2. 科大網路通是動態分配IP,很容易闖到別人一段時間沒有使用網路的IP上,繼續用他的IP。如果這個IP開通了外網許可權,而用戶自己不需要登錄。
這是資源復用問題。

3. 科大的內部網路的關鍵服務,包括教務系統等等,都無加密。
這也是無加密問題的一部分。

4. 只要用戶建立名字為ustcnet的熱點,馬上就有不少主動連接過來。
(感謝Incognito Avatar提醒,應該更正)欺騙,或者說evil twin。可被用於中間人。

5. 宿舍區的大多數自建wifi,可以通過長時間監聽數據包識破密碼。
這就是偵聽。

不知道為啥第一名會有這麼多贊,最近比較忙,簡單說兩句,就不長篇大論了

1、互聯網是不可信任的,因為其上的數據除非加密,否則默認都是明文傳輸,可在任何傳輸階段被監聽、截獲甚至篡改。而WiFi只是一種互聯網接入方式,其安全性並不比ADSL撥號、網線等更差或更好。

2、使用網路(不僅是WiFi,還包括有線網路等),如果對安全性有很高的需要,請使用VPN。公共WiFi也好,家裡的寬頻也好,都會被且正在被監聽,這個不解釋

3、網路本來就沒有公共、私人的概念區分,聯通的寬頻就不是公共網路?你交費使用網路,並不代表它更安全。

4、使用手機號登錄的,運營商的免費WiFi,並非更加安全,登錄方式變了,傳輸方式可沒變啊。

5、好的客戶端隔離機制,能幫你解決大部分的安全威脅。

6、會話層加密的應用(如網銀、https),除非是你電腦被植入木馬,否則不可能因為使用WiFi而丟密碼,不然網管們早就發財了。

附一個不安全WiFi的反面典型,圖中可見,沒有任何客戶端隔離措施,這種WiFi就相當於讓你直接裸奔,電腦稍有設置上的問題,就很容易杯具。


我先佔個坑,做個WIFI安全預警提示吧。

1.小朋友都會的WIFI嗅探
用的工具叫做Fing,可以做個簡單的嗅探

2.小朋友都會的WIFI入侵
轉自:dSploit—Android網路滲透套件測試小記(含視頻)

dSploit是什麼?

dSploit是Android系統下的網路分析和滲透套件,其目的是面向IT安全專家和愛好者提供最完整、最先進的專業工具包 ,以便在移動設備上進行網路安全評估。 一旦dSploit運行,你將能夠輕易地映射你的網路,發現活動主機和運行的服務,搜索已知漏洞,多種TCP協議登錄破解,中間人攻擊,如密碼嗅探,實時流量操控,等等。 此應用程序仍處於測試階段,有異常請聯繫程序官方反饋。

使用條件:

* Android 2.3 或 2.3 以上。
* 設備已經ROOT。
* 設備必須完整安裝 BusyBox。

支持功能

WiFi Scanning Common Router Key Cracking 無線掃描常見路由密鑰破解
Deep Inspection 深度檢測
Vulnerability Search 漏洞掃描
Multi Protocol Login Cracker 多種協議登錄破解
Packet Forging with Wake On Lan Support 數據包構造喚醒網路功能支持
HTTPS/SSL Support ( SSL Stripping + HTTPS -&> Redirection ) HTTPS/SSL 支持 (SSL分離+HTTPS-&>重定向)
MITM Realtime Network Stats 網路信息實時統計
MITM Multi Protocol Password Sniffing 多種協議密碼嗅探
MITM HTTP/HTTPS Session Hijacking HTTP/HTTPS 會話劫持
MITM HTTP/HTTPS Hijacked Session File Persistance HTTP/HTTPS 會話劫持文件持久化
MITM HTTP/HTTPS Realtime Manipulation HTTP / HTTPS 實時操控

模塊:

1.路由攻擊

啟動 Routerpwn 1.20.239服務幹掉你的路由器。

2.路由追蹤
對目標路由器進行跟蹤。

3.埠掃描
SYN埠掃描,能迅速發現目標埠開放信息。

4.檢測器
對目標操作系統和服務進行更深度檢測,速度比SYS埠掃描更加快速和準確。

5.弱點搜索
根據國家漏洞資料庫搜索目標服務已知安全漏洞。

6.登錄破解
快速網路登錄破解,支持多種不同服務。

7.中間人攻擊
執行各種中間人操作,如網路監聽,流量操控等。

8.數據包偽造
向目標TCP或UDP埠發送自定義構造的數據包。

測試小記

測試設備/環境:

本機:小米手機2 MIUI 開發版-2.11.17 JRO03L(android 4.1.1)/dSploit v1.0.31b/Busybox 1.202
目標:小辣椒 LA-1 (android 4.0.4)

dSploit-1.0.27b 版下載地址,安裝後程序會提示升級新版。

dSploit-1.0.27b.rar_免費高速下載(網盤)

Busybox下載

百度手機助手網頁版(百度應用)

視頻:dSploit中間人攻擊測試

視頻:百度賬戶登錄會話劫持(Session Hijacker)

dSploit啟動主界面,圖示當前WIFI下的連接目標。

1.當前網路的子網掩碼

2.網關/路由地址

3.當前設備(本機)

4.測試目標設備

點擊目標進入dSploit測試模塊:


功能模塊

1.路由攻擊

啟動 Routerpwn 1.20.239服務幹掉你的路由器。

2.路由追蹤
對目標路由器進行跟蹤。

3.埠掃描
SYN埠掃描,能迅速發現目標埠開放信息。

4.檢測器
對目標操作系統和服務進行更深度檢測,速度比SYS埠掃描更加快速和準確。

5.弱點搜索
根據國家漏洞資料庫搜索目標服務已知安全漏洞。

6.登錄破解
快速網路登錄破解,支持多種不同服務。

7.中間人攻擊
執行各種中間人操作,如網路監聽,流量操控等。

8.數據包偽造
向目標TCP或UDP埠發送自定義構造的數據包。

中間人攻擊(MITM)測試

下圖示為MITM模塊界面


MITM 模塊功能

1.Simple Sniff 簡單嗅探

將目標流量重定向至當前設備,並將數據轉存至pcap文件。
2.Password Sniffer 密碼嗅探
支持對多種協議目標密碼嗅探,如 http、ftp、imap、imaps、irc、msn等。

3.Session Hijacker 會話劫持
監聽網路中的Cookies,進行會話劫持。

4.Kill Connections 殺死連接
幹掉與目標連接的任何網站或服務。

5.Redirect重定向

重定向所有流量至其他地址。
6.Replace Images 替換圖像
指定並替換網頁中所有圖像文件。
7.Replace Videos 替換視頻
指定並替換網頁中所有youtube視頻。

8.Script Injection 腳本注入
在所以訪問網頁中注入JS代碼。

9.Custom Filter 自定義過濾
在網頁中替換指定文本。

Custom Filter 自定義過濾演示


效果


Script Injection 腳本注入演示


效果


Replace Images 替換圖像演示

效果

百度賬戶登錄會話劫持演示效果(Session Hijacker )

其他功能各位慢慢測試,dSploit還可以攻擊PC端,元方你想到什麼?嗅探、掛馬、劫持、DDOS?

3.蜜罐WIFI

顧名思義,做一個FREE的WIFI,讓貪圖小便宜的人登錄,然後蜜罐的所有者就可以查看用戶的所有流量,並且獲得類似網銀帳號密碼之類的關鍵信息。


油管的相關視頻:https://www.youtube.com/watch?v=jKiOf0Oj4VM

暫時沒有搬運過來,搬運完我再更新


4.解決辦法


很不幸,沒有什麼確實有效的辦法來解決。


我個人建議是少使用公共WIFI,如麥當勞、星巴克等,如果要使用,我個人是掛著一個VPN較為安全。或者連接電信的ChinaNet之類的收費WIFI,謹慎點還是好的。


最重要的是不要貪圖小便宜,不然自己怎麼被坑的都不知道。


#5.外記


XX出國參加黑帽大會,連接完黑帽的WIFI之後...他說他的IPHONE不好了...需要格式化還是啥的,反正是數據全沒了。


(下圖為黑帽大會某團隊在搞WIFI)

通過抓包破解的應用,連接他人wifi都有危險。
業界常見的破解軟體方式,就是抓包。抓包的原理非常簡單:截獲你的客戶端與服務端的通訊。
出於安全,大部分軟體都把用戶數據存在伺服器那,比如銀行賬戶。
你玩魔獸世界、英雄聯盟的時候,你用支付寶、網銀的時候,你上淘寶、上京東的時候,其實所有的數據都在伺服器上,你手上的手機,你面前的電腦,只是把伺服器的數據下載下來展現給你。
當你要做操作時,把你的操作傳到伺服器那兒,伺服器驗明正身,就執行你的操作。
我們假設今天你要給優雅的豬打100萬元人民幣,你打開了網銀,輸入了優雅豬的賬號,寫上100萬,並輸入密碼,然後發給伺服器。發送的信息有你的個人信息、對方的賬號,100萬這個數字,還有一些安全信息(如你的密碼);
事情挺順利的,伺服器收到你的信息,把你的賬戶錢 減了100萬,對方加了100萬,然後伺服器再給你條消息。告訴你這事兒做完了,你的網銀就彈出個框,說恭喜你轉賬完成。
不過,這時你可能要有疑問了,如果有個人,掌握了你發送的數據,並再發一次相同的數據給銀行怎麼辦?
抓包就是這個原理。把你往銀行那發的數據截獲下來,大家嘗試閱讀·、破解。
很多軟體是很通透的,往伺服器傳的數據明明白白,你一抓下來就看懂了。哦,這段是用戶名,那一段是密碼。這種情況下,模擬你的數據再發一次,基本就能達到完全複製你的效果。
但網上銀行、支付寶這種敏感的東西,相關到支付,它是不會這麼做的。
在發送數據之前,他們會把數據進行加密,即使你抓住了包,也沒有辦法獲得任何有效的信息。
不過,如果不斷抓取數據並不斷窮舉破解,還是有破解的風險,只不過,不論是網銀還是支付寶這些大戶,哪怕是微信的數據,破解還是很困難的,基本可以保證安全。

連上一個未知的WIFI,最大的風險就是釣魚。
路由器如果被人入侵,入侵者可以做一個與銀行一樣的網站,注意哦,這是高級釣魚,在這種情況下,你輸入正確的銀行網址,還是進入了有問題的銀行網站,因為所有的數據出入,都在路由器那裡管著。支付寶同理。

除此之外。所有未經加密而傳輸數據的軟體、網站,都會泄露你;
它可以監控你發起的下載請求,比如你要下一個軟體,它偵測到以後,把另一個地方的同名但帶著病毒的軟體發給你,你對網站信任,覺得沒有什麼問題,欣然打開,然後就中招。

總體來說,免費WIFI的使用,其實是很不安全的。
同時,其實被蹭網的那些wifi擁有者,其實也不舒服,他們並不想自己的網路被那麼多人使用。你說咖啡店何必為沒有來自己店裡的用戶提供上網服務呢?又不是真的大公無私。
小弟不才,開發了一款檢查自己密碼是否被泄露的APP,如果贊數超過500我就貼出來:)

就題主的問題,點對點回答如下:

Q:「常常需要在公共場合(如咖啡館、酒店等)使用wifi上網,涉及到郵件收發,網上帳號登錄等,這樣上網是否安全,帳號被盜、數據被竊聽的概率高不高?」
A:目前針對WiFi的攻擊技術主要分被動偵聽和主動技偵兩大類。前者成本很小,後者成本較高。

被動WiFi偵聽
任何一台安裝了Linux的筆記本,通過設置網卡monitor模式就可以抓取任意WiFi信道的報文。如果公共場所WiFi使用open system(不加密,典型代表為運營商WiFi,如CMCC),那麼報文是明文傳輸,抓取後可直接讀取報文內容;如果公共場所Wifi使用WEP/PSK加密(典型代表為咖啡店),那麼報文通常是用RC4/CCMP加密的,這些場所的密碼很容易獲取(問服務員),所以將報文抓到後,還是可以通過逆演算法還原出報文內容。


所以,被「被動偵聽」後,你的後果會有:
1)通過HTTP訪問普通網站的記錄會被監視者看的一清二楚,例如你看了什麼網站,你的QQ號碼是多少等;
2)對於使用了HTTPS/SSL加密的應用,如郵件收發和賬號登陸,就算監視者將報文抓取了,他也是很難破解的。因為HTTPS使用了數字證書和AES強加密,很難直接暴力破解,他看到的是沒有意義的亂碼。

主動WiFi技偵
常見的主動WiFi技偵技術有:蜜罐和中間人攻擊。如果你被「主動技偵」了,那麼你的信息安全威脅就比較大了。
蜜罐攻擊是指攻擊者主動在公共場所架設自己的AP,SSID命名為具有引誘性的SSID如「CMCC」,「McDonload"s」,「internet-free"等字眼,勾引你主動連接。當你連接上後仍然可以正常上網,但是因為你的所有報文都會在攻擊者的AP上中轉,所以攻擊者能做得攻擊手段比被動偵聽要多得多,在這種情況下,你的上網安全可以說處於極度危險之中,HTTPS/SSL也不可靠了。

中間人攻擊比蜜罐攻擊更為陰險。當你正常連接到公共場所Wifi(如CMCC)後,攻擊者可以通過技術手段模仿你連接的AP向你發送802.11協議里的De-Association(解除關聯)報文,你的手機或筆記本就會被迫與正常的AP斷開連接。然後,攻擊者會通過一系列手段將你的手機或筆記本」引導「到他自己建立的AP上,而且這一系列過程中,你的手機和筆記本不感知,期間始終可以正常上網。也就是說你可能會在不知不覺中被」中間人攻擊「。這種情況下,你基本沒有安全可言了。

小結
被動WiFi偵聽的話,成本低廉,技術門檻低,而且有很多開源軟體(軟體名字我就不說了,免得有廣告嫌疑)支持。所以在公共場所上網,你的上網瀏覽記錄基本上沒有什麼秘密可言,不過只要用了SSL加密,郵件和賬號的安全還是可以保證的。
主動Wifi技偵手段,門檻很高,目前業內相關的設備造價也比較貴,而且通常被國家安全機關把控,所以只要你不從事敏感性的活動,相信被「主動技偵」的可能性比較小。

Q:怎樣的措施能做到相對安全?
A:只能有以下建議:
1)在公共場所,普通的瀏覽網頁沒有什麼安全性可言,你的上網記錄可以輕易被人看到。這種後果只能自己承擔,盡量別再公共場所上XXX網站; 有條件的建議默認使用https登陸和看郵件。
2)不要去登陸可疑的SSID,例如在明知附近沒有麥當勞的情況下,還有麥當勞的SSID,那就不要連接;要根據當時所處的場景,連接合理的SSID。這樣可以適度的防止被蜜罐攻擊的可能;
3)中間人攻擊目前還沒有什麼好的規避措施。目前IEEE國際標準化組織正在制定的802.11w可以徹底防止被中間人攻擊,不過該協議目前基本沒有設備支持。

對於安全使用公共wifi,建議按照以下優先順序順序有選擇使用:
1、不要連公共wifi,使用自建的wifi;
2、使用自建wifi,優先使用手機的usb熱點共享方式,如果沒有有線,設置無線熱點共享時,建議打開所有有益的安全增強配置,例如:隱藏SSID廣播、限制連接數、修改使用高強度連接密碼、使用WPA2加密方式等。避免使用AP方式接入陌生的有線網路,防止區域網攻擊直接攻擊AP的出入口數據流量;
3、使用公共wifi時,強烈建議使用全局VPN或加密的SSH Tunnel,加密所有通信流量;
4、使用公共wifi時,如果沒有條件使用VPN,除了避免使用需要登錄才能使用的任何應用,儘可能減少用網時間,避免一些後台應用程序的聯網流量中招;

帳號被盜、數據被竊聽的概率高不高?我只能說,攻擊技術上很成熟,防禦技術上雖然也相對成熟,但普及程度還是不夠高。安全不?那得看是誰和你一起【公共】wifi了,呵呵。

btw,不要簡單認為公共wifi的安全威脅就只有:帳號被盜和數據被竊聽,一旦被中個木馬在你的電腦上和手機上,那麼,你的電腦和手機也就【公共】了。

我也來補充下。
1. 公共Wi-Fi, 如果是不需要密碼(比如你會看到Wi-Fi信號沒有鎖)就能連接上熱點的(這裡不是指的就能上互聯網的),那麼這個空中介面就不是安全的,容易被空中抓包竊聽。
2. 如果是WPA,WPA2的私人,企業(EAP)驗證,那麼這個空中鏈路是安全的。移動目前部署又PEAP 熱點(CMCC-AUTO ),建議優先使用,可能配置稍微麻煩點。日本DOCOMO 很聰明,先是WPA2私人認證(密碼公開),然後跳出Portal 進行真正上網認證。
3.別人隨便可以搭建一個仿冒熱點,那怎麼辦? 這時候如果熱點支持企業級EAP認證,那麼中間人攻擊就無效了。
4. EAP 配置麻煩,那麼就等Hotspot 2.0吧。需要手機終端和熱點同時支持。目前WBA 正在聯合世界運營商,設備商做測試,也許很快在中國就出現了(韓國去年就商用了,日本今年開始也商用).
5. 但是,上面多數是終端和熱點間安全,最終轉成有線時候,數據又是透明的了,那麼這個時候用VPN是最好選擇了。但是,如果你信任中間寬頻提供商: 電信 網通 等以及二級寬頻商,那就無所謂了。到時候只對敏感信息加密處理就行了。

8/26補充:
很奇怪,沒有贊! 我可能講得太"電信"了,主要講得是運營商級別的公共Wi-Fi. 說說社區公共Wi-Fi.

其實,我不再說無線鏈路安全,那個太過專業,而且上面我也提到過。就說有線這方面。我們上網,最終會通過商家有線交換機或路由器連接到互聯網,那個地方,如果是不安全協議,比如非https,非vpn等,就很容易被嗅探,竊聽。比如抓包來分析。如果商家想做,太容易了。你們沒看過很多網管控制軟體么,就是抓包,分析上網數據的。它知道你在瀏覽什麼,有沒有炒股,有沒有上微信(微信由於加密了消息,他們看不到的).

是時候繼續貼科普了……

【科普】如何在咖啡廳搭訕:美女你下單了一個男友?談談WiFi與HTTP安全

那一天,你坐在咖啡廳的角落裡,靜靜品嘗著一杯Espresso,自覺文藝與逼格齊飛。


突然,出現了一個素麵朝天,卻讓你驚為天人的她,獨自走了進來,點了一杯拿鐵,坐在了另一個地方。


自始至終,你的目光似若遊離,卻又不曾離開她。


「真漂亮啊……」在她那玉面皓首之前,你已經詞窮,只剩下這麼一句感慨。


她一邊品著咖啡,一邊刷著手機里的什麼。她突然的一抹微笑,讓你心醉得屏住了呼吸。美目盼兮,巧笑倩兮。如水如柳的眉目之間,卻帶著些許英氣。


那麼,此時的你,還能做什麼呢?你忍心打破喧囂中的那片寂靜,走入繁雜世界中的那片凈土么?


於是,讓我們開始談談——怎麼知道她的手機在瀏覽什麼?怎麼截獲她的數據?對,我們是來談網路安全的。



讓我們回到網路世界之中,對,就是那個到處都是快遞的地方。


上次已經說到,上網就像你向一個網站訂了個快遞,網站將會向你傳送一個又一個的包裹,也就是數據包。


網站可能在北京,而你人在廣州,那麼,這些包裹就要交由快遞小哥——中轉站——N個中轉站——快遞分發——到達你的電腦上。


嗯,在計算機的世界裡,這些中轉站,就是「路由器」、「交換機」作為中轉節點,也就是它們構成了主幹網路。


在HTTP協議下,這些快遞的外包裹是透明的,也許它們被分成了一個小塊一個小塊,但是只要你有心地收集這些數據,就可以還原出所有的信息。


也就是說,有名的斯諾登事件並不是空穴來風,也不是子虛烏有。只要中轉站有個人偷偷再抄送多一份包裹的內容,分發到其他地方,那麼,監控所有人的包裹是可行的。


當然,中轉站的檢查可能就是為了安全需要,——包裹里可能有超級炸彈之類的,窺視的數據基本不會另作他用,所以也算是值得信任的。關於是否要為了安全監察所有人的這方面的辯論,還是留給各位看官,讓我們繼續快遞的故事。


在快遞終於到達最近的中轉站的時候,就要開始由快遞員分發了。


這個最近的中轉站,就是我們的WiFi網路。


我們每個連接了同一個WiFi的電腦、手機、智能設備,都算一個小村莊。


那麼,快遞怎麼送達到我們每個人的手上?而且不送錯?


因為中轉站會固定時間內有人出來喊:IP為xxx的你是住哪的?!還活著嗎?活著的喊一下啊。


此時如果對應的那台設備還在線,也就是連著網路,就會出來說:是我是我,我的地址是12棟3巷這裡。


如果將地址用數字表示的話,可能是61:23:11:23:22:13。


中轉站的工作人員一看,哦,原來你是xxx,在這裡。如果你有快遞到了,它就會立馬叫個快遞員,把快遞送去給你。


其實,為了速度著想,這份快遞會被複製成多份,由多個快遞員發到多個人手裡。收到的人對比一下地址,如果不是自己的,在還沒拆開的時候就扔掉了。


你收到了快遞,就自然可以開開心心地拆開,看是什麼網頁,看看有什麼消息啦。


可是,如果有個人天天對著中轉站和其他人喊:我才是xxx,我的地址是88:88:88:88:88。快遞小哥,往這邊送!


這個時候,中轉站就會被混淆了,因為它可能聽到了你的回話,但是更多少時候,由於那個人天天在喊他才是你,就出現了「真假孫悟空」的情況。


而且,更多的,會是假的孫悟空替代了真的。因為你或者你的電腦是規規矩矩地等別人問一次,而那個人卻是不斷地在喊口號:我是xx,我的地址是……

中轉站會被煩得要死,於是,就把你的名字(也就是你的IP)和他的物理地址(也就是網卡的地址)掛鉤在了一起。


那麼,當快遞真的各種影分身到來的時候,你就會以為那個快遞是別人的,扔掉了……


這裡有必要再解釋一下,你的名字是大家常說的IP地址,住址是網卡地址。


在區域網內的時候,是要再根據網卡設備的地址才能確定這個快遞包裹是誰的。所以如果你的網卡發現那個快遞的網卡地址並不是你的,那麼他會直接扔掉,你甚至不知道這個消息。


由此,一項偉大的事業誕生了,那就是:釣魚。


所謂的釣魚就是發起上面所說的ARP欺騙,分分鐘不停地騙中轉站,自己是XXX,同時還有騙其他人,假裝自己才是中轉站。


這樣一來,嘿,不論是別人想要收到的包裹,或者別人想要發出去的包裹,都有可能在他這裡經手。


或者他不經手,直接截取了不再還給別人,就可以造成網路癱瘓。


最後,由於大多都是HTTP的網站,你瀏覽的時候,請求了哪些網站的網址,釣魚的人看得到;你提交用戶密碼登錄網站時,釣魚的人也看得到。


你下載了啥,一樣是收到的包裹,同樣也能看得到啦。


好了,說了這麼多,我們就該干正事了——


拿出電腦,接上與女神同個的WiFi,然後靜靜地等待她的數據。然後在發現她打開了淘寶網站之後,走過去,告訴她:


嘿,你是不是上淘寶了?


嗯,是啊……你怎麼知道的。她警惕地看著你。


「因為——你訂的男朋友到了呀」。你坐下來,微笑著,陽光正好,她的臉透紅得讓人陶醉。

然而,結局是:



ARP發起的網路釣魚會引起網路擁塞,所以女神很明顯地會覺得上網變卡。如果她也看過這篇文章的話,她就會知道罪魁禍首是你,然後把剩下的咖啡潑到你臉上:


「你神經病啊!」


最後等著被其他幾個重度網癮壯漢暴打吧。


最後的最後再科普一下:在公用WiFi中,你永遠不知道還有誰在旁邊窺視著你。所以,不要隨隨便便在公用的WiFi中登錄任何網站。


而且公用WiFi卡是眾所周知的事情,你根本無法覺察是因為有人在釣魚呢,還是真的太多人用所以變慢了。


哦,還有,別以為打開沒有登陸操作的軟體就高枕無憂了。


一些自動登錄的、默認登錄的網站,也會在「自動登錄」的時候發送對應的令牌信息。


所謂令牌就是:大王派我來巡山,我有令牌我就是那個小妖怪。然後就可以被當做該用戶通行該網站。 但——誰知道釣魚的看沒看到你的令牌呢?


——來源於我的公眾號的一片科普。

曾經想在公司做一個基於SDN和wifi的無線接入PoC,搞成了之後又想在公司內部使用。跟安全研究員討論之後,發現無論通過任何方式,都無法避免被攻擊者假冒的風險,所以從某種意義上來說,基於wifi的方案,物理上只要不受空間約束,都是有風險的。

p.s. 後來公司確實還是部署了無線接入的方案,定期換密碼,畢竟業務還是要發展,shadowIT無法避免,安全公司如果不擁抱變化,如何能防護擁抱變化的客戶呢

得看設置的如何,如果沒有專業人員指導部署的,安全方面的保障就差一些。像這樣的地方上網不建議做沒有加密保護網站的輸入用戶名密碼的登錄操作。但是網銀等在會話層加密的反而不會有太大問題。

在公共WIFI環境下上網是很不安全的,具體可參考2014互聯網安全大會「綿羊牆」事件:


2002年美國第十界黑客大會上,一群參加的黑客偶然坐到一起,將一些在大會現場上網,但卻在使用不安全口令的人的用戶名和密碼寫在餐廳的紙盤子上,並將這些紙盤子貼在牆上,還在牆上寫了個大大的「Sheep」。黑客們這樣做,一方面是想教育人民「你很可能隨時都被監視」,另一方面也是想給那些參會的人難堪:能來參加黑客大會的人,還如此不注意安全,難怪被貼到綿羊牆上。

自從,Wall of Sheep ,也就是綿羊牆,成為在西方舉行的各種黑客大會或安全大會上經常出現的趣味活動。黑客們每次都會想出各種新的花樣在大會現場製造陷阱,入侵或竊聽參會者的電腦、手機和上網活動,並將攻擊的幾個過投影展示在綿羊牆上。

2014年互聯網安全大會上的綿羊牆

2014互聯網安全大會最好玩的是會場3樓那堵綿羊牆wall of sheep。由於會場提供了開放的WiFi網路,不加密的網路會話可以被監聽,因此主辦方搞了一個「綿羊牆」,它會監聽整個WiFi網路,抽取其中明文傳輸的賬號、密碼和URL,自動發到IRC頻道里(當然,賬號和密碼打上了部分掩碼)。綿羊牆上時時發出一個個HTTP會話和郵箱登陸的賬號密碼,讓大家真正感受到無線網路攻擊的危險,也主動地讓一些可能遭到攻擊的聽眾發現問題,還讓一些沒做好加密的網路服務提供商和客戶端軟體原形畢露。

沃通(WoSign)提醒現場的小夥伴們 :

  1. 遠離無線網路,關閉藍牙:黑客行為隨時隨地都在進行著。
  2. 加密信息:不希望第三方也知道的話,所有必須發生的消息一定要加密。
  3. 別收禮:任何人遞來的U盤都可能是竊取你個人信息的必殺器。
  4. 那些沒做好加密的網路服務提供商和客戶端軟體趕緊支持HTTS加密,別上「綿羊牆」多丟臉啊!

不要太看高那些公共熱點設置者的水平


個人真實經歷:

上次跟同學去奶茶店,商業街上的,去的人也不算少。店內有提供免費wifi,設置了連接密碼,在店內牆上標著,同學連上wifi,出於好奇,訪問192.168.1.1 ,用默認的管理帳號,密碼試探,居然登錄了……

當然我現在只發現那麼一家。我們不經常去的。窮……

經過這次,我真的發現,大眾的計算機網路水平真的不怎麼樣。。。

對於有一定研究的初級黑客,已經完全可以用這一點做很多手腳了。我對這方面沒有太多的研究,我只知道,只要設置過路由器的普通人,都完全有可能發現這個漏洞,稍加研究,就可以干好多事了。畢竟網上的各種論壇,教程,多的是。

具體攻擊的方式,樓上已經說了不少。

反正公共熱點的安全程度,不要太高看。

至於安全的上網方式,vpn和ssh帳號也不貴,網速的話,收發郵件足夠了。
這方面研究不多,看其他大神回答吧,百度教程也可以,vpn我試過幾家免費的,速度慢,斷線多,付費了就不同了。vpn的設置挺簡單。

在讀學生,語序雜亂,不堪入目,輕噴。。

最近也在想這個問題,正好前幾天在首都機場想用wifi的時候,一看是平安保險還讓輸入手機號,點開看了機場的wifi使用條款條件,順手存了起來,看完之後也沒什麼急事用網就果斷沒用,具體內容如下:
1. 協議

1.1 本條款條件及不時進行的修訂(以下統稱 「協議」或「本協議」)構成了當前場所內(以下稱「我們」、「我們的」視情況而定)與您就使用由我方提供的無線網路連接服務(以下稱「服務」)的協議。

1.2 連接服務並點擊『我已經閱讀並且同意以上條款條件』,表明您已經閱讀、理解本條款條件且確認同意受到本條款條件的制約。

1.3 您使用本服務,將會受到隨時被加入的、與使用本服務有關的任何額外的政策和準則的約束(以下統稱「額外政策」)。這些額外的政策將作為本協議的一部分,並且有關本協議的一切引用將包括這些額外政策。

1.4 我們有權自主單方面更新、修訂本條款條件,且無需提前通知或承擔其它任何義務。您使用服務的行為將被視為您同意受到更新的條款條件的約束。

2. 服務

2.1 服務是免費提供的,並且只供您個人在遵守本協議情況下使用。您不可以轉讓,授權,轉移,轉租或在任何其他情況下與任何第三方分享此服務(全部或部分)。

2.2 您將會收到密碼,驗證碼和/或其他信息作為安全登陸服務流程的一部分。您必須嚴格保密這些信息,不向任何第三方透露此信息,確保只有您本人可以通過您的賬號連接服務。請在發現任何使用您帳號的非授權行為,或者密碼操作錯誤時立即通知我們。任何違反本協議的行為和/或第三方藉助您透露的登陸信息違反本協議的行為都被視為您的行為,並要您承擔相關責任。

2.3 您確認並且同意:

- (a) 您願意接受由於使用本服務無線網路技術、固有缺陷產生的個人隱私、安全、保密等的方面的風險。

- (b) 您對本服務的使用會受到連接本服務的設備數量以及使用時間的限制。

- (c) 您使用本服務的風險完全由您承擔,您需對您的所有使用行為,及由於使用而產生的任何損失或責任負責。

3. 可接受的使用政策

3.1 您應確保您使用此服務的行為和活動不存在違法,淫穢,濫用,恐嚇,誹謗,或侵犯個人隱私,侵犯他人知識產權,或其他對於第三方造成損害或損失的情形。

3.2 除受以上3.1 條款的限制,有關您對本服務的使用,您同意:

- (a) 不以任何方式損害或威脅損害任何個人或機構;

- (b) 不傳播或接受病毒軟體,政治信息,商業廣告,連鎖信,垃圾郵件,或其它任何存在『詐騙』和/或違禁內容的信息;

- (c) 不冒充任何個人或機構或虛假陳述或誤傳您的身份或地位或錯誤表述您與任何個人或機構的關係;

- (d) 不偽造標題或修改文字、標符從而隱藏,並藉助本服務傳播任何信息;

- (e) 不在我們認為不妥的方式下濫用和/或誤用本服務;

- (f) 不干擾或中斷本服務或與本服務相關的伺服器或網路,或違反任何規定、程序、網路連接服務政策或規則;

- (g) 不攻擊本服務或任何相關的計算機系統,不佔用過多流量以致阻礙其他用戶使用和享受本服務;

- (h) 不跟蹤,或騷擾,威脅或侵犯他人權益;

- (i) 不違法或在未獲得第三方認可或同意的前提下,收集,使用,泄露和/或處理任何第三方的個人信息;

- (j) 不安排或設計自動登入本服務的程式;

4. 您的個人信息

4.1 由於此服務是一個免費提供的市場和廣告平台,持續使用本服務即為您同意我們收集,使用,透露和處理您的個人信息。

4.2 尤其,但不局限於以上條款的通用性,您同意我們以及其他與提供此服務相關的個人和機構收集,使用,透露並且處理您的個人信息和/或MAC地址,為了以下目的:

- (a) 運營或提供服務 特別提醒,此服務可能會使用包括但不限於如下功能,包括遠程診斷,設備位置追蹤,和其他類似服務。不限於以上條款的通用性,此服務可能需要使用您的個人信息和/或MAC地址以判斷您在商場內的位置,以及您和周邊商戶之間的距離,並且我們可能也會需要和第三方分享您的個人信息和/或MAC地址從而使他們與您的溝通更加暢通;

- (b) 發送有關產品和服務的通知(定義如下)和更新

特別提示,通知(包括通過語音電話,簡訊,傳真或其他方式)的信息,更新,廣告,促銷(包括但不限於折扣和特價)以及其他與(i)我們,任何合作夥伴和/或第三方提供的產品,服務,折扣和促銷,和(ii)由合作夥伴和/或第三方舉行的活動、項目的相關信息等,將會通過此服務發送; (c) 回復您的詢問,需求和反饋;

- (d) 我們公司的全部或任何部分的合併,收購或出售;

- (e) 保護和加強我們合同和法律權利、義務;

- (f) 遵守法律或法規要求或協助有關部門執法或調查;

- (g) 為了以上提到的任何目的或相關事宜而處理您的個人信息和/或MAC地址,包括透露給我們的營銷合作夥伴和/或第三方外包服務提供商,並由其處理以上數據。

4.3 我們會採取適當措施以準確記錄您的個人信息,我們要求您提供準確和完整的個人信息,並且實時向我們進行更新。

4.4 如果您對您的個人信息有任何疑問,投訴或者您想要獲取或修改您的個人記錄,請與如下我們任命的個人信息管理員聯繫:[email protected]
4.5 在不影響4.1、4.2條款的前提下,您同意我們依自身判斷與第三方,比如廣告商或者我們的營銷合作夥伴分享有關您的全部非個人身份信息。

4.6 為避免疑問,如果您選擇終止此服務的使用,這將不會影響到有關您個人信息使用的同意(無論是否通過此服務或其他方式收集)或者使用您的手機號碼接收市場或促銷電話或短訊。

4.7 此服務也要求使用您的手機號碼來運行。使用此服務,表示您同意通過您手機號碼接受市場或促銷信息或其他廣告(統稱,「市場活動」),所以不定時地,合作夥伴可以通過我們記錄的您手機號碼將有關『市場活動』發送予您,您對此予以認可(包括語音電話,簡訊,傳真或其他方式)。

5. 知識產權

5.1 您認可此服務所涉及的任何知識產權相關的權利,利益,包括但不局限於版面,數據,信息,文本,圖形,圖像,照片,設計,商標,品牌,網址和由我們授權的第三方提供的內容,由我們或我們授權的第三方擁有(如果適用的話)。所有的權利將被保留並且未能在此處明確授予的權利都被視為明確拒絕。

6. 未成年人使用此服務

6.1 如果您使用此服務,我們將認為,並且確信您是18周歲及以上或者您得到您的父母或法律監護人的允許,並且他們已全權代表您同意此協議的所有條款。

6.2 如果您是18歲以下未成年人的父母或法律監護人,您應該謹慎的監督您孩子的使用行為。

7.聲明和免責條款

7.1 此服務會按使用時的現狀,並會在可用的基礎上予以提供。在法律允許的最大範圍內,不論法定的或明示或暗示的,我們不會就服務包括服務的可用性,通過服務接收數據的速度、服務的質量,滿足某一特定目的,準確性,安靜的利用,和不侵犯第三方權益,予以負責。

7.2 我們對網路上任何內容都無法控制並不會承擔任何責任。您通過此服務,而和網路接觸所產生的全部責任和風險由您自行承擔,並且此服務或網路提供的所有商品(如果有)、所有服務、產品及其他信息的質量、購買的準確性,完整性,以及有用性均由您自行承擔。

7.3 我們不保證亦不發表任何聲明和保證,服務的使用是無錯的,安全的,不間斷的,或者此服務的所有錯誤或缺陷將會得到糾正。

- (a) 在所有法律、法規規定的條件、保證、條款和其它規定中,包括但不限於對服務準確性、可靠性、可售性、滿意度、服務質量、滿足某一特定目的、不侵犯第三方權益、以及該服務不受諸如病毒和其他潛在有害因素影響等方面的要求。

- (b) 與使用本服務直接或間接相關的任何索賠、損失、損害或債務(不論如何產生),包括但不限於數據、利潤、商譽、預期結餘、聲譽、商業或商業機遇方面的任何損失,和/或任何直接或間接損失或損害(不論原因如何,以及即使我方已被告知存在產生損失或損害的可能性)。

7.5 無論本協議有何相反的約定,在不違反法律規定的情況下,本協議中的任何內容都不能支持您向我們主張您因第三方行為所產生的損失。

8. 賠償金

8.1 您同意完全賠償並且使服務提供商以及各自的管理層,總監,員工和機構(統稱,「受償者」)免受任何由於您違反本協議和/或使用本服務,導致的任何直接或間接的損失、損害、責任成本和支出(包括法律費用和實際支出)。

9. 本服務的終止,暫停或修改

9.1 我們有權在沒有任何提前通知的情況下,在任何時候或由於任何原因或無原因的情況下終止或暫停您使用此服務,或部分或全部取消此服務,而不承擔任何責任。

9.2 在任何時候,我們都可以自主判斷,且無需提前通知或承擔任何責任的情況下,修改此服務,包括但不限於修改通過此服務傳輸或接收數據的速度。任何改變後,您依舊使用此服務的行為將被視為您同意接受相關修改及此條款的約束。

10. 常規

10.1 所有協議:此協議(包括額外的政策)構成您與我們之間就協議相關事宜的全部合意。您承認並同意,您接受本協議沒有依賴任何沒有在本協議中提到的保證,承諾或擔保。

10.2 嚴重性:如果任何一個法院認為此協議中的部分條款無效,不合法,或者由於任何原因不可被執行,您同意此協議中其餘或其他條款,仍然有效並且在法律允許的情況下,最大程度的被執行,從而使相關方的意向得以滿足。

10.3 非合法性:此協議的任何條款的非法性,無效性或不可執行性將不會影響,其他條款的合法性,有效性或執行性。

10.4 轉讓/轉移:您不可以轉讓或轉移在此協議下的全部或部分權益。

10.5 補救和棄權:我們沒有或推遲執行或履行此協議的任何條款,或任何權益或採取補救措施,不能視為棄權並且任何單獨或行使部分權益或採取補救措施都不能排除我們主張其他或進一步行使該等權益或補救措施。我們在此協議的權益和補救行為是累積的,並且不能排除法律賦予我們的任何權益和補救措施。

10.6 適用法律和分歧解決方法:此協議受中國法律管轄。任何與此條款、條件相關的糾紛將會提交給有管轄權的法院通過訴訟予以解決。

11. 定義與解釋

11.1 在此協議中,相關用語的解釋列明如下,除非在行文中另外標明:

- 「個人信息」 意指有關我們可以從數據,或我們所擁有或可以獲得的其他信息中認定的個人的數據,無論正確與否;

- 「違禁內容」 意指有悖於公共利益,公共道德,公共秩序,公共安全,國家和諧的,或其他被可使用法律禁止的材料;

11.2 除非上下文要求,單數詞語仍可包含複數含義,反之依然。男性用詞包括女性和中性。

11.3 本條款條件中的標題僅為方便而設,不影響對本條款條件的解釋。
-----------------------------------
後來住賓館,想用wifi也讓輸手機號,輸入之後就成為了會員,要無條件接收人家集團發送的消息,怎麼說呢,天下還是沒有免費的午飯的……

能否通過wifi竊取信息?能使用專業客戶端網銀付款會不會被竊取信息?可能性微乎其微有能力通過wifi盜取你信息的人,才不會在意你賬戶里那點小錢 。

其實只要公共信道都是不安全的,甚至包括手機簡訊,手機上網,甚至包括有線上網,只是這些方式駭客想獲取你的數據沒那麼容易而已。電信企業的員工方便一點,也的確發生過他們幹壞事的案例。

網路數據其實就是從終端到,A點,到B點到C點,再到目的地的過程。A,B,C點都有可能截獲你的數據。只要他有心幹壞事。他就一定可以干。而公共wifi其實就是開始的那個點A,而且如果發布這個wifi的人想幹壞事,成本很低。

不知道是否還有人記得當年的QQ,2006年前的QQ WEB登錄就是明文密碼的。(別嘲笑騰訊,2010年sina 微博的登錄密碼還是明文的。這就是中國最大的互聯網公司的實力。),當時的網吧網關在各種代理網關上就有各種工具截獲QQ密碼。工具都是1條龍的。所以你去一次網吧,密碼丟一次。公共wifi同理。只要你的軟體的數據在網路上是明文的(悲哀的中國互聯網安全現狀),熟悉協議的人就可以輕鬆的盜取你的任何數據(包括密碼)。

但同時也不得不說,中國很多互聯網公司很弱!!!即使是信道是公共的,也可以讓中間點截獲任何數據都無意義。在網路出現不久,HTTPS,kerberos,這些方案其實早就考慮如何解決這些問題了。google已經完全的擁抱HTTPS,就是這個原因。但中國……,

即使是銀行這樣的企業也往往沒有考慮這方面的安全。而且出現了事故,居然要用戶負責。你在安全上做的不夠,除了事故不懂安全的用戶買單,這種事情如果在國外。這種公司早就被律師玩死了。但在中國。萬能wifi鑰匙這樣的嚴重危害安全的產品,居然還會存在……在315晚會上裝作很牛逼的黑客行為。其實只能證明。政府+很多企業他們在這個事情上,就是一個二貨。

如何防範?用公共wifi的時候別用任何和密碼相關的功能。但其實這仍然很難。你登錄一個個新聞客戶端。看看新聞,怎麼能知道是否這個2貨軟體在後面是否驗證了你原來登錄的密碼(安全優秀的軟體是絕對不會保存密碼)?本質上還是要依賴中國互聯網公司的水平的提高。而政府制定相關政策法規這條,我個人不看好。因為他不懂。

公共場合堅定的用4G上網 各大電信運營商還是很安全的

只要在一個公開的wifi環境下,你的一切都是暴露的,暴露在和你同處一個wifi的用戶下。對方可以掃描你的系統漏洞,入侵你的系統,竊聽你的網路數據等等,因為自己是做web開發的,對於網路數據傳輸較為了解,而且樓主比較關心這方面的問題,所以就講一講網路數據傳輸這塊吧。
比如你訪問網站傳輸的HTTP數據,都可以被同一wifi下的人抓取到,最簡單的方式是抓取並模擬你的cookie登錄到相關網站,雖然沒有你的密碼,但是達到了登錄的目的。這樣,你的個人信息一覽無餘,並且他還可以對你的賬號進行一些操作。

  • 保險一點的方法就是訪問SSL加密的網站,但是除了銀行和一些郵箱,其它網站尤其是社交網站,大部分都是在登錄的時候SSL加密(甚至不SSL加密),登錄完後就不採用SSL加密傳輸了,你要問為什麼?因為加密訪問速度慢啊!加密解密影響網站伺服器效率!所以我們不能依靠這種方法來完全保障安全。。。
  • 最好的方法是採用VPN的方式,對所有網路數據進行加密,直連到你指定的虛擬機上,通過它來訪問網路。但是問題又來了,你沒法確保這個虛擬機是安全的,因為它處於機房裡,和其它來自全國各地的機子共處一室,難保其中某台機子被滲入了,繼而你的這台虛擬機也就暴露了,但是機房一般都是專業人員看管,安全性要大大強於公眾wifi下不設防的我們,就不必太多慮了。

看了這麼多,樓主明白了沒有,在公共wifi中,沒有100%安全的方法,除非一根線直接接到網站總部,不經過其它代理,否則都是有隱患,我想說的是,在公共wifi下,還是盡量通過正規VPN訪問網路吧,不然完全暴露的風險太大了。至於公共wifi下的系統入侵,就通過及時更新系統補丁,安裝有效的防火牆和殺毒軟體,提高安全意識來防範吧

可以給你推送好多東西,http下載可以給你直接替換成木馬,普通軟體升級甚至安全軟體升級也可以給你提換掉,反正能做的壞事太多了

推薦閱讀:

大型發布會現場的 Wi-Fi 應該如何搭建?
無線路由器被蹭網後,有被黑的風險嗎?

TAG:Wi-Fi | 網路安全 | 信息安全 |