我发现的关于公共 Wi-Fi 安全的每篇文章(以及本网站上的帖子)都主要关注连接到同一网络的其他人窥探我们的通信。据我了解,只要我们通过 HTTPS 连接,我们基本上是安全的。“主要是”因为加密软件可能存在缺陷,或者不良行为者可能会将我们重定向到虚假页面。
但是供应商呢?我有时会连接到要求我在连接前接受协议的免费 Wi-Fi 热点(公共汽车、医院)。有时,该协议说他们可以监视我的通信。
所以,假设我连接到这样的 Wi-Fi 网络并且只进行与 HTTPS 相关的连接,他们可以:
一般来说†,无法拦截 HTTPS 通信。
但是,热点提供程序可以执行以下操作:
http://yourbank.com,希望重定向到https://yourbank.com,热点所有者可以拦截并重定向您或为您提供他们自己的内容。这是HSTS存在的原因之一。如果该站点使用 HSTS,或者您输入https://yourbank.com或使用 VPN,则一切正常。† 有以下假设:
这并不能直接回答您的问题(上面已充分回答),但考虑到您的偏执,您需要警惕的一件事是使用供应商提供的公共终端,例如在图书馆、网吧、雇主、学校等
如果他们为您提供端点/设备,他们可以操纵证书链并拦截您的所有 HTTPS 流量,甚至更糟。在这种情况下,您不会收到任何警告,因为终端会信任窃听者。
使用 BYOD(与热点一样),他们可以尝试操纵链,但您的个人设备不会天生信任他们的代理/MITM,除非您事先已受到攻击**,并且当您的浏览器看到 gmail.com 的证书已颁发通过“aruba-networks”或“fart-school-for-the-gifted.edu”而不是“Google”会引发错误。
** 让您的设备受到威胁的最简单方法是让他们强迫您“在使用我们的网络之前安装此软件”。有时它只是一个无害的 VPN 客户端或与 Microsoft 的网络访问保护相关的一些 .NET 垃圾,但有时它们会将广告软件、后门/RAT、受信任的证书或监控代理塞入其中。