[hm] [OT] Democratización de los certificados ssl

anders anders en sindominio.net
Lun Mayo 24 14:55:31 CEST 2010


On Mon, 24 May 2010 13:50:50 +0200, psy <root en lordepsylon.net> wrote:
>>
>> Gmail? No se muy bien a que te refieres con que "se come el login por
>> http". Yo me imagino más bien que los que nos podemos comer un login
>> por http somos los usuarios si no nos cercioramos de que nuestro
>> navegador nos indica correctamente que navegamos por una página
>> segura. ¿Quieres decir que gmail acepta logins por http? A mi no me lo
>> parece.
>>
> 
> Se refiere a unas pruebas que hicimos hace tiempo sobre una red local,
> que nos permitían "hackear" facilmente las cuentas de facebook, gmail y
> msn de cualquiera que estuviera sobre la red. Cómo?. Muy sencillo, en el
> momento en que se va a loguear la aplicación por httpS, nos llevamos al
> user por http.
> 
> Aunque en algunos navegadores viene por defecto la opción de avisarte si
> esto pasa, la gran mayoría de la gente no lo hace caso. O no sabe lo que
> sucede.
> 
> Por tanto, se puede engañar a los aplicativos para que lleven el tráfico
> de login en plano, y en consecuencia, si eres un atacante, esnifarlo y
> obtener las passwords.
> 
> Creo que se refiere a eso.
> 

Me hizo acordar un poco al sslstrip: 

http://www.thoughtcrime.org/software/sslstrip/

Basicamente es esto que estamos hablando de presentar una pagina con SSL
como algo no encriptado. El detalle que para mi marca la diferencia es que
tiene una opcion donde le podes poner un favicon con por ejemplo el tipico
candado xD 

Saludos,
Anders


Más información sobre la lista de distribución HackMeeting