[hm] [OT] Democratización de los certificados ssl

Pablo Martin caedes en sindominio.net
Lun Mayo 24 21:24:03 CEST 2010


On 24/05/10 19:57, blingesagger wrote:
> anders wrote:
>>
>>>
>>> Por tanto, se puede engañar a los aplicativos para que lleven el
>>> tráfico
>>> de login en plano, y en consecuencia, si eres un atacante, esnifarlo y
>>> obtener las passwords.
>>
>
> Ok entonces no es que google (gmail) "se coma" el login por http, sino
> que el navegador o el usuario son quienes lo hacen.

si, si que es gmail, porque te permite loguear por http y navegar por
http, de forma que solo te puedes dar cuenta si te fijas en que el
candadito está mal, por lo demás entras normalmente en la cuenta. lo
suyo sería que te dijesen que te han dado el palo, y te manden una
contraseña nueva o algo asi (tal vez ahora lo hagan eh, que esta prueba
la he visto hace unos meses). Ya te digo q gmail no se si será ya
vulnerable de la misma forma porq te lleva directamente a ssl, pero
facebook desde luego tiene que serlo.

besitos

 p.


Más información sobre la lista de distribución HackMeeting