Tutti i dati sensibili come password, accessi o numeri di carta di credito devono essere inviati tramite un canale crittografato tra il client e il server. In questo modo l'utente viene protettoda un uomo nell'attacco a metà, incui l'utente malintenzionato viene aggiunto alla comunicazione tra l'utente e la rete che sta attualmente utilizzando. Ha accesso a tutte le informazioni trasmesse dalla vittima ed è quindi in grado di intercettarla, modificarla o distruggerla in caso di dati non crittografati. Pertanto, sono necessarie adeguate garanzie per proteggere i dati trasmessi. L'amministratore delle informazioni dovrebbe decidere autonomamente quale tipo di protezione applicare. Questo può essere un protocollo di crittografia dei dati SSL / TLS,così come un'altra misura di protezione crittografica, come la crittografia della posta elettronica e la chiave pubblica del destinatario. L'immagine seguente mostra una visualizzazione di un pacchetto non crittografato acquisito contenente le credenziali di un programma di intercettazione del traffico di rete.
caratteristico. Catturato un pacchetto non crittografato contenente credenziali. Fonte: [Studio personale]
In una delle applicazioni testate, la comunicazione con il server utilizzava HTTP, che non è crittografato. Tutti i dati trasmessi da tale canale possono essere intercettati e modificati durante la trasmissione. L'immagine qui sotto mostra una vista del messaggio che firefox non è crittografia.
caratteristico. Visualizza un messaggio che indica che non esiste alcuna crittografia da Firefox. Fonte: [Studio personale]