[hm] [OT] Democratización de los certificados ssl

[Pablo Martin]

On 24/05/10 12:50, blingesagger wrote:
> Pablo Martin wrote:
>
>> pueda hacernos creer que es el router local envenenando las tablas arp,
>> o podría ser un atacante "global" (que controle la red externa). En la
>> mayor parte de los casos, si el servicio se come el login por http (como
>> gmail), ni siquiera nos daremos cuenta de que hemos sido victimas de un
>> ataque.
>
> Gmail? No se muy bien a que te refieres con que "se come el login por
> http". Yo me imagino más bien que los que nos podemos comer un login
> por http somos los usuarios si no nos cercioramos de que nuestro
> navegador nos indica correctamente que navegamos por una página
> segura. ¿Quieres decir que gmail acepta logins por http? A mi no me lo
> parece.


cierto... lo he comprobado y en gmail si q te obliga a entrar al
formulario por https, por lo que se evita este peligro (ya es cuestión
de q te fijes en que la página está por https), aún así te la pueden
liar pero más complicado y es más difícil de evitar.  de todas formas,
otros servicios si que hacen solo el login por https por lo q no te
darías cuenta (p, ej. facebook, pero muchos frameworks permiten este
tipo de formularios http que postean a https).

de todas formas con nuestros experimentos se podía hacer con gmail,
aunque no se si habrá cambiado algo ahora o simplemente se puede hacer
redirigiendo el tráfico https al puerto 80 y ale (cuestión de fijarse en
el candadito en este caso). también supuestamente para evitar el primer
problema hay una opción en el firefox para q te avise si vas a postear
algo por un canal inseguro, el tema es que es imposible vivir con esa
opción (he probado a activarla y tienes mensajitos de esos cada dos por
tres, de hecho supongo que viene activada por defecto pero todo el mundo
la desactiva -con razón :P-).

besitos!!

 p.