Wszystkie poufne dane takie jak hasła, loginy, czy też numery kart kredytowych powinny być przesyłane szyfrowanym kanałem pomiędzy klientem, a serwerem. Dzięki temu użytkownik chroniony jest przed atakiem typu „man in the midle”, gdzie atakujący jest wpięty w komunikację pomiędzy użytkownikiem a siecią z której aktualnie korzysta. Ma on dostęp do wszystkich informacji przesyłanych przez ofiarę i tym samym w przypadku niezaszyfrowanych danych jest w stanie je przechwycić, zmodyfikować lub też zniszczyć. Wymagane jest więc zastosowanie odpowiednich zabezpieczeń, które będą chronić przesyłane dane. O tym, jaki typ ochrony należy zastosować, administrator informacji powinien zdecydować samodzielnie. Może to być protokół szyfrowania danych SSL/TLS, jak również inny środek ochrony kryptograficznej, np. szyfrowanie przy użyciu poczty elektronicznej i klucza publicznego odbiorcy. Na obrazie poniżej zaprezentowany został widok na przechwycony nieszyfrowany pakiet zawierający dane uwierzytelniające programem do podsłuchu ruchu sieciowego.
Rys. Przechwycony nieszyfrowany pakiet zawierający dane uwierzytelniające. Źródło: [Opracowanie własne]
W jednej z testowanych aplikacji, komunikacja z serwerem odbywała się z użyciem protokołu HTTP, który nie jest szyfrowany. Wszystkie dane przesyłane takim kanałem mogą zostać przechwycone i zmodyfikowane podczas transmisji. Na grafice poniżej przedstawiony został widok na komunikat o braku szyfrowania z przeglądarki Firefox.
Rys. Widok na komunikat o braku szyfrowania z przeglądarki Firefox. Źródło: [Opracowanie własne]
