Primero, parece que muchas personas sobreestiman la capacidad promedio del ISP para detectar el tráfico encriptado. Considere leer http://peterswire.net/wp-content… de la página 26 en adelante para comprender lo que generalmente es posible.
Parece posible, gracias a los inicios de sesión HTTP de las aplicaciones OAuth y Canvas, pero solo si su ISP lo redirige a una URL con parámetros de iframe inyectados. En lugar de cualquier intento deliberado por parte del ISP o un hombre en el medio para rastrear sus credenciales de esta manera, su navegación en Facebook estaría en una sesión HTTPS que aparece para el ISP como un túnel encriptado que filtra solo la dirección IP del servidor HTTP HEAD .
Puede evitar algunos ataques MITM utilizando el complemento de navegador HTTPS Everwhere o revisando el certificado SSL en cada inicio de sesión.
- ¿Quiénes son los mejores proveedores de servicios de telecomunicación?
- ¿Por qué algunos proveedores de servicios de Internet limitan las velocidades de Internet?
- Cómo encontrar un proveedor confiable de servicios de procesamiento de datos
- ¿Es posible que un proveedor de servicios de Internet, como la compañía de telecomunicaciones China Mobile en China, bloquee una VPN?
- ¿Cuál es el mejor proveedor de servicios WiFi en Delhi?
Abusar del token de acceso de Facebook con un ataque Man-in-the-Middle
Si está hablando de un navegador de PC como Chrome, un pequeño símbolo de candado en la barra de direcciones le indicará si la sesión se realiza a través de HTTP o HTTPS. El cifrado AES-128 no se puede descifrar utilizando la fuerza bruta en un marco de tiempo realista, por lo que a menos que su ISP de alguna manera pueda cargar certificados CA autofirmados en su dispositivo para aceptar certificados SSL falsos (la respuesta de Mark Allen al departamento de TI de mi oficina puede rastrear los documentos que me envío a mí mismo a través de mi correo electrónico basado en la web usando mi PC de trabajo?), entonces el vector de ataque que mencioné antes (o el uso de un navegador emitido por el ISP o alguna rareza similar) podría ser la única forma práctica para que el ISP recopile su contraseña. Siempre y cuando se asegure de que HTTPS esté en uso para su sesión de Facebook, su contraseña debe estar segura.
Lo que Zuck haga con su contraseña y datos personales a partir de entonces depende de Zuck.