通常我会尝试告诉人们不要在不受 HTTPS 保护的网站上输入任何数据。

这是个好建议。

鉴于 SSLSTRIP 的效率以及大多数人都受到 Wifi 访问控制的保护。真的有多糟糕？

对于遵循上述建议的人，SSLSTRIP 无效，因为他们（应该）注意到他们的浏览器没有使用 HTTPS。

拦截 HTTP 数据有多容易？

使用流氓接入点非常容易。在同一网络上使用流氓电缆调制解调器，这是可能的，但很困难。DSL 更难，因为线路是专用的。

通过使用 ARP 或 DHCP 欺骗攻击将流量重定向到攻击者来拦截大多数网络中的流量是微不足道的，因此请考虑任何公共热点不安全。此外，攻击者可以使用知名 ISP 的名称创建自己的恶意热点，用户会很高兴地连接到它。许多路由器也可以被利用来更改设置，从而导致所有传出流量被重定向到攻击者。除了将流量重定向到攻击者以便轻松提取数据的攻击之外，浏览器注入和其他恶意软件可用于直接在客户端系统拦截流量。

这不需要深厚的技术知识：有简单易用的工具和教程允许任何人进行此类攻击。只是谷歌在中间攻击教程人，看看自己。

MiTM、脚本注入或胭脂 AP 不谈；如果攻击者的设备在同一个网络上，通过不安全的 Wi-Fi 和/或密码保护的 Wi-Fi，也可以通过监控模式嗅探 http…… Aircrack上已经详细记录了攻击ng的主页，所以我会建议一些缓解选项。

选项1; 通知站点管理员可以从LetsEncrypt免费获得 SSL 证书，并且可以通过使用 https 而不是 http 获得客户端信任。

选项 2；为您的接入点设置个人 VPN 并向您的客户端提供密钥，以便在通过以太网连接发送到您的调制解调器之前，无论协议如何，他们的流量都通过 Wi-Fi 加密。开放固件友好的路由器和片上 PC设备（如 beaglebone 或 raspberry pi）是最便宜的设置方式，但您也可以在 VPS 上设置 VPN，其成本与本地服务器设置的电费大致相同。

就我个人而言，我选择了选项二，因为尝试让一些管理员甚至做出回应是一件痛苦的事，更不用说在他们的工作日程已经足够时对加密做出回应了。

编辑/更新

1. 正如下面评论的那样，GitHub repo Perinoid_WiFi已经初始化，最终将包含注释和脚本，用于设置您自己的带有 VPN+DNS 服务器的 AP，以加密通过 Wi-Fi 的网络流量。虽然等到本月底或在使用之前在这里更新，因为有大量的设置将合并到上述存储库中。

2. OpenVPN 服务器和客户端设置即将完成，iptables 和 DNS 服务器设置以及其他一些功能仍未合并。联系 Travis-CI 团队以获取有关 easy-rsa 依赖项的帮助，以便在下载项目之前验证构建的步骤。

3. 服务器和客户端配置过程完成并使用Travis-CI公开测试，两个 iptables 脚本之一也被合并。DNS 和沙盒仍需合并，但是，以上内容现在可以正常运行，因此请随时对其进行测试，或者将错误/问题提交到 GitHub，如果有的话……换句话说，祝大家节日快乐，享受神秘的礼物 ;-）

这实际上取决于您要传输的数据。HTTP 是一种不安全的协议。您可以轻松地使用嗅探器检查 TCP/IP 数据包信息。