[hm] [OT] Democratización de los certificados ssl

blingesagger blingesagger en gmail.com
Lun Mayo 24 19:57:27 CEST 2010


anders wrote:
> On Mon, 24 May 2010 13:50:50 +0200, psy <root en lordepsylon.net> wrote:
>>> Gmail? No se muy bien a que te refieres con que "se come el login por
>>> http". Yo me imagino más bien que los que nos podemos comer un login
>>> por http somos los usuarios si no nos cercioramos de que nuestro
>>> navegador nos indica correctamente que navegamos por una página
>>> segura. ¿Quieres decir que gmail acepta logins por http? A mi no me lo
>>> parece.
>>>
>> Se refiere a unas pruebas que hicimos hace tiempo sobre una red local,
>> que nos permitían "hackear" facilmente las cuentas de facebook, gmail y
>> msn de cualquiera que estuviera sobre la red. Cómo?. Muy sencillo, en el
>> momento en que se va a loguear la aplicación por httpS, nos llevamos al
>> user por http.
>>
>> Aunque en algunos navegadores viene por defecto la opción de avisarte si
>> esto pasa, la gran mayoría de la gente no lo hace caso. O no sabe lo que
>> sucede.
>>
>> Por tanto, se puede engañar a los aplicativos para que lleven el tráfico
>> de login en plano, y en consecuencia, si eres un atacante, esnifarlo y
>> obtener las passwords.

Ok entonces no es que google (gmail) "se coma" el login por http, sino 
que el navegador o el usuario son quienes lo hacen.

>>
>> Creo que se refiere a eso.
>>
> 
> Me hizo acordar un poco al sslstrip: 
> 
> http://www.thoughtcrime.org/software/sslstrip/
> 
> Basicamente es esto que estamos hablando de presentar una pagina con SSL
> como algo no encriptado. El detalle que para mi marca la diferencia es que
> tiene una opcion donde le podes poner un favicon con por ejemplo el tipico
> candado xD 

Igualmente se trata de engañar al usuario.

> 
> Saludos,
> Anders

Saludos.


Más información sobre la lista de distribución HackMeeting