Moze. Ko god ima pristup bilo kom cvoristu u mrezi moze da vidi tvoj kompletan saobracaj, ako nisi oprezan cak i ssl. U tvom slucaju, mozes ocekivati svasta. Zato sto je wifi bez ipsec-a po mom misljenju defacto nesiguran. E sad iskalkulisi rizik. Ono sto ti mogu preporuciti, kao i svim ostalim korisnicima online kupovine jeste kartica sa kojom ne mozes otici u minus, i kada se odlucis za kupovinu:
1) odes do banke i uplatis iznos koji si odlucio da potrosis
2) odmah trcis kuci i kupis (potrosis kompletan iznos)

Dakle, kartice za online kupovinu valja drzati na nuli bez mogucnosti odlaska u minus. Ne valja biti ni paranoik, ali i obican viruscic ti moze pokupiti podatke i onda bye bye...

moja 2 centa

Koliko ja znam, ssl je jedan od bezbednijih nacina prenosa podataka. Ili mozda znas za neki nacin kako dekodirati ssl podatke sa sniffovanih podataka? Inace sve dobre prodavnice i sl. koje koriste platne kartice imaju i ssl.

Da, tacno. Ali sam takodje rekao "ako nisi oprezan cak i ssl". To znaci da je moguce izvesti MITM (Man in the middle) napad. U ovom napadu, zrtvi se salje lazni sertifikat (koji je isti kao i pravi, samo sto je zrtva u nemogucnosti da provjeri validnost sertifikata), prema serveru se ponasa napadac kao legitimni korisnik, s tim da zrtva manipulise sadrzajem koji napadac moze vidjeti.
Primjer (isti princip i kod zicanih mreza):




Takodje, ssl kod vecine logovanja npr. ne pomaze ukoliko se uhvati cookie.

Cek, ja koliko znam ssl jeste namenjen upravo da tu vrstu napada spreci.
Kada server posalje ljuc klijentu, salje mu svoj javni kljuc. Klijent zatim salje pass za koriscenje u kripciji enkriptovan tim javnim kjlucem a server ga dekriptuje svojim privatnim.
Ti tu i ako uhvatis serverov javni kljuc i podatak koji je klijent poslao, ne mozes ga "otvoriti" jer nemas serverov privatni kljuc.

Procitaj pazljivo moje postove.

Dijagram:

zrtva [enkripcija] ====SSL==== [dekripcija] napadac [enkripcija] ====SSL==== [dekripcija] server

Znaci zrtva misli da je sertifikat izdat od servera, a ne od napadaca, ovakav sertifikat je identican onom sto server izdaje s tim da se ne moze verifikovati. Napadac u ovom slucaju na dijagramu izgleda kao proxy, u vecini slucajeva napad se izvodi trovanjem arp kesa.

Da, jasno, jbg, nisam gledao pazljivo. I ono "ako nije pazljiv" je jasnije sta si hteo da kazes. U sustini, nije problem do SSL-a vec do korisnika ako ne proveri da li je verifikovan sertifikat.

Upravo tako. Svaki brauzer ce pokazati upozorenje da sertifikat ne zadovoljava sve uslove koje bi trebalo i pita za nastavak transfera. Ako korisnik nastavi, toliko o njegovim podacima... A stoje najjace, za celu "operaciju" dovoljan je samo Ettercap, pocevsi od izrade laznog sertifikata, spoofinga, sniffovanja...

Ok ljudi puno hvala razumeo sam sta ste hteli da kazete. A sad me interesuje da li je moguce nakon izvrsenog transfera da neko sacuva podatke ili da izvuce iz nekog history-a i da ih zloupotrebi?Znaci ako je transfer prosao normalno (nije zloupotrebljen) da sad neki korisnik (ili vlasnik rutera) zlupotrebi poslate podatke?

moze... sve osim protoka koji ide preko ssl-a (osim ako nije izvrsio onaj attack gore).

Ili neki malware koji ce da odradi istu ili slicnu stvar. Prije neki mjesec sam vidio to cudo, nevjerovatno, hoce da salje sve podatke na neke ip adrese. 'Sjedne' na interfejs i sve daje lose sertifikate, a izmedju slusa saobracaj.
Ovo ukljucuje keylogere, kao i hardverske keylogere koji se ne mogu detektovati osim da pogledas iza kucista :)

Zaista su napadi toliko postali sofisticirani, da je svakom korisniku racunara potreban security awareness predavanje na godisnjem nivou, definitivno.

Slazem sa sa ovim u potpunosti.

Hmm....
Interesantno.
Koristim wireless gde god stignem. Samo se nakacim na neciji router koji nema lozinku i surfujem. Do sada nisam nista placao, ali sam se recimo logovao preko Skajpa, MSN, G-mail, Facebook....
Da li vlasnik routera, ako je dovoljno skolovan, moze da provali moje passworde?
Izgleda mi da moze, mada samo pitam da znam da ih sve promenim ........

za sajtove koje koriste ssl (ovi koji si ti nabrojao su medju nijima) ne moze,.. a ako ne koristi ssl moze svako ko je u blizini tebe i routera da provali to... ali mora da skenira za vreme dok se salje password... (a moze i da vidi tvoj chat u msnu jer se chat (tekst, poruke) ne kodira sslom)

Moze i SSL, samo sto mora da na neke stvari.

Dobro, kako se onda zastititi? Recimo, na putovanju ste i morate da proverite mail. Ne mozete da koristite svoj mobilni broadband jer ce da vas opale po novcaniku, znaci varijanta je neki otvoreni pristup. Sta biste radili????

jako tesko ce da provali ssl, osim ako sam podvali neki fejk certifikat, ali opet ce i to da se vidi, a i browser obicno salje upozoranja za to.

najbezbednija varijanta bi bila da koristis ssl tunel ili vpn, do recimo domaceg kompjutera, koji je na net spojen zicom preko bezbedne linije... ali opet moze ISP sve da cita ;) a i oni na microsoftu mogu msn chatove da citaju (ne znam koliko gb na dan chatova :DD) Pa onda, mozda i onaj kome nesto saljes isto upotrebljava neku nebzebednu mrezu, pa mogu na njegovoj strani da pokupe podatke.... ima toga koliko hoces

a postoji i drugi ekstrem... jedan covek (mislim da iz kanade) je napravio backup svih svojih privatnih podataka, nekih slika, i jos nekih manjih stvarcica (~300mb), zapakovao u arhivu, sve zakodirao sa nekim jacim rsa kljucem, nalepio na kraj ~400mb velikog pornica (ili na pocetak? ne znam gde je onaj magic-cookie na filmovima), i sve to stavio na e-mule (dok je jos bila popularna). Posle 2g jos je sve to tamo stajalo, i ljudi su razmenjvali, a niko nije ni znao sta ima unutra, a i kad bi znao, ne bi mogao da dektiptira :)

iskreno, ne sekira me da ce neko da cita moje poruke, nema sta da se cita..
Samo mi je stalo do toga da mi niko ne provali passworde recimo G-maila, Skype-a i MSNa, jer moze neko da ti uzurpira privatan zivot do jaja, recimo da ti zameni postojeci, pa nemas vise pristupa nalogu; a onda sefu, zeni, ljubavnici recimo posalje neke mailove, itd itd....
Svaki put kada sam trebao da kliknem na "login" pitao sam se da nece neko da mi iscita password.... :S