[hm] [Off-topic] webapp de verificación de pasaporte covid
arinaga
arinaga en sindominio.net
Mie Dic 15 16:32:23 CET 2021
cambia de bar.
El mié, 15-12-2021 a las 12:31 +0000, fadelkon escribió:
> Ayer en un bar por barcelona me pidieron el pasaporte covid. Usaban esto:
>
> https://verificacovid.gencat.cat
>
> Decodifica en el navegador el qr y muestra si es válido o no, el nombre y
> apellidos, y la fecha de nacimiento. En la consola salen más datos, no sé si
> todos los que están codificados en el qr
>
> La aplicación solo hace una petición extra para recargar un json con todos los
> certificados de todos los países que imagino que han implementado el sistema.
>
> https://verificacovid.gencat.cat/eu_jwk_keys.json
>
> Está interesante. Funciona offline y solo carga recursos de un solo dominio,
> sin tracking externo ni nada por el estilo.
>
> Respecto a vulnerabilidades... Me imagino alguien haciendo un dns spoofing en
> la wifi de un bar para servir la misma web pero con el json modificado para
> añadir un certificado propio con el que ha firmado un qr... Todo para tomarse
> una caña xD
>
> Podría ser viable el spoofing pq no sirve la cabecera HSTS, y con un refresh
> entero de la app...
>
> Conocéis otras aplicaciones? Qué os parece esta?
>
> Salut!
> fdk
>
> _______________________________________________
> HackMeeting mailing list
> HackMeeting en listas.sindominio.net
> https://listas.sindominio.net/mailman/listinfo/hackmeeting
Más información sobre la lista de distribución HackMeeting