[hm] [OT] Democratizaci�n de los certificados ssl
Pablo Martin
caedes en sindominio.net
Lun Mayo 24 21:24:03 CEST 2010
On 24/05/10 19:57, blingesagger wrote:
> anders wrote:
>>
>>>
>>> Por tanto, se puede enga�ar a los aplicativos para que lleven el
>>> tr�fico
>>> de login en plano, y en consecuencia, si eres un atacante, esnifarlo y
>>> obtener las passwords.
>>
>
> Ok entonces no es que google (gmail) "se coma" el login por http, sino
> que el navegador o el usuario son quienes lo hacen.
si, si que es gmail, porque te permite loguear por http y navegar por
http, de forma que solo te puedes dar cuenta si te fijas en que el
candadito est� mal, por lo dem�s entras normalmente en la cuenta. lo
suyo ser�a que te dijesen que te han dado el palo, y te manden una
contrase�a nueva o algo asi (tal vez ahora lo hagan eh, que esta prueba
la he visto hace unos meses). Ya te digo q gmail no se si ser� ya
vulnerable de la misma forma porq te lleva directamente a ssl, pero
facebook desde luego tiene que serlo.
besitos
p.
M�s informaci�n sobre la lista de distribuci�n HackMeeting