Ответы:
3G может быть безопасным или небезопасным, это действительно зависит от конкретной реализации. Если вы беспокоитесь о своих данных во время подключения или при использовании 3G iPad / iPhone, посмотрите на это с точки зрения безопасности, это более безопасно, чем использование бесплатных / незащищенных точек доступа / сетей WiFi.
На самом деле ответ на ваш вопрос заключается в том, что 3G довольно безопасен, но имеет свои недостатки.
3G зашифрован, самые распространенные алгоритмы шифрования были взломаны, с подходящим оборудованием кто-то может перехватить вашу информацию по беспроводной связи. Однако для этого им понадобятся знания, деньги и мотивация. Затем, в дополнение к этому, им потребуется ваше устройство для отправки незашифрованных данных (не https), чтобы их можно было расшифровать. В целом, маловероятно, но, безусловно, возможно, что ваша информация может быть перехвачена. Тем не менее, это риск для любого человека, передающего данные в любом месте, и он не изолирован от 3G / WiFi или других способов связи с мобильными устройствами.
Попробуйте поиск в Google по безопасности 3G, и вы найдете много информации о недостатках и дырах в безопасности, а также о том, как их можно использовать.
В качестве примера, вот несколько презентаций:
Если вы работаете по протоколу https, не имеет значения, через какой тип соединения вы общаетесь. Все данные будут зашифрованы из вашего браузера в серверную программу. Единственный способ справиться с этим - подслушивать связь между вами и вашим конечным пунктом назначения. Для решения этой проблемы были созданы удостоверения личности. Это подтверждает, что вы разговариваете с конечным пунктом назначения, а не через какого-либо посредника. Так что, пока удостоверение личности совпадает, вы в безопасности. Если удостоверение личности не совпадает, браузер покажет вам предупреждение безопасности, сообщающее, что сертификат не совпадает, как правило, они оставят вам возможность продолжить общение, на случай, если вы выполняете операцию, которую вы делаете. не заботится о безопасности.
Не в последнюю очередь. Даже HTTPS защищен только от лиц, не являющихся представителями правительства или провайдеров. Проверьте EFF.org для получения дополнительной информации, но я предупреждаю вас, это чертовски уныло.
РЕДАКТИРОВАТЬ: прошлое это страна, которую очень трудно посетить:
Анализ Брюса Шнайера по SSL:
http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html
Обсуждение Мозиллы:
https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8
Открытое письмо в августе, детализирующее проблему от EFF:
https://www.eff.org/deeplinks/2010/08/open-letter-verizon
Понимаете, дело не в том, что они это расшифровывают. По шифрованию мы все на равных до квантового ключа или замка. Но люди, которые не пишут код, не глупы. По SSL вы можете гарантировать безопасность сервера, но сами сертификаты происходят из цепочки доверия.
Фраза "Я получил этот правительственный концерт! Служба национальной безопасности! Новый парень Мэри Энн ... F ** k Вы!" или подобное должно быть сказано в какой-то момент.
Amazon был не единственным местом после Wikileaks, где группа седанов подтянулась. ФБР прямо сейчас кричит о бэкдорах, точнее, о том, чтобы узаконить бэкдоры, которые они должны иметь. Поскольку правительство или промышленные субъекты не являются «актерами», а «людьми», сомневаться в этом не FUD.
Примером FUD будет выделение, скажем, сложности математики и попытка использовать ее, чтобы доказать неправильный ответ, и восстановить веру в систему, которая работала в прошлом, игнорируя при этом принудительное доверие к людям и успешное эксплуатировать в дикой природе.
Есть смысл?
Атака посредника или слежка за кем-то, сидящим в той же кофейне, гораздо менее вероятна по 3G. Оборудование для этого гораздо реже доступно, а требуемый опыт выше.
Ни один из них не может быть защищен, скажем, от правительственной разведывательной организации или других крупных изощренных операций, поскольку шифрование 3G не имеет такого уровня. Но HTTPS и SSH должны защищать вас от среднего шпионажа.
Человек в средней атаке также может быть выполнен с использованием sslstrip, который может легко извлечь ssl из https, сделать его http-соединением, перехватить все данные и использовать поддельный сертификат для повторного включения ssl перед отправкой его в пункт назначения. Простыми словами это идея.
Пользователь никогда не узнает, что с ним даже случилось. Это было продемонстрировано в Blackhat в 2009 году, если я не ошибаюсь. Если Мокси Марлинспайк смог сделать это в 2009 году, представьте, на что способны другие профессиональные хакеры в наши дни. Он был одним из немногих, кто раскрыл это в хороших целях. Многие из них не будут публиковать уязвимости, которые они имеют в своем распоряжении.
Не хочу вас пугать, но если вы думаете, что ssl безопасен, подумайте дважды. Это действительно зависит от браузеров, чтобы поддерживать безопасность пользователей. Ваша вера действительно в их руках. Много уязвимостей существует много лет, точно так же, как и до того, как они что-то предпримут.