[hm] [OT] Democratizaci�n de los certificados ssl

blingesagger blingesagger en gmail.com
Lun Mayo 24 19:57:27 CEST 2010


anders wrote:
> On Mon, 24 May 2010 13:50:50 +0200, psy <root en lordepsylon.net> wrote:
>>> Gmail? No se muy bien a que te refieres con que "se come el login por
>>> http". Yo me imagino m�s bien que los que nos podemos comer un login
>>> por http somos los usuarios si no nos cercioramos de que nuestro
>>> navegador nos indica correctamente que navegamos por una p�gina
>>> segura. �Quieres decir que gmail acepta logins por http? A mi no me lo
>>> parece.
>>>
>> Se refiere a unas pruebas que hicimos hace tiempo sobre una red local,
>> que nos permit�an "hackear" facilmente las cuentas de facebook, gmail y
>> msn de cualquiera que estuviera sobre la red. C�mo?. Muy sencillo, en el
>> momento en que se va a loguear la aplicaci�n por httpS, nos llevamos al
>> user por http.
>>
>> Aunque en algunos navegadores viene por defecto la opci�n de avisarte si
>> esto pasa, la gran mayor�a de la gente no lo hace caso. O no sabe lo que
>> sucede.
>>
>> Por tanto, se puede enga�ar a los aplicativos para que lleven el tr�fico
>> de login en plano, y en consecuencia, si eres un atacante, esnifarlo y
>> obtener las passwords.

Ok entonces no es que google (gmail) "se coma" el login por http, sino 
que el navegador o el usuario son quienes lo hacen.

>>
>> Creo que se refiere a eso.
>>
> 
> Me hizo acordar un poco al sslstrip: 
> 
> http://www.thoughtcrime.org/software/sslstrip/
> 
> Basicamente es esto que estamos hablando de presentar una pagina con SSL
> como algo no encriptado. El detalle que para mi marca la diferencia es que
> tiene una opcion donde le podes poner un favicon con por ejemplo el tipico
> candado xD 

Igualmente se trata de enga�ar al usuario.

> 
> Saludos,
> Anders

Saludos.


M�s informaci�n sobre la lista de distribuci�n HackMeeting