HTTPS en los portales cautivos y el Asistente de red cautivo de Apple

4

Supongamos que me conecto a la red Wi-Fi de una compañía en la que confío lo suficiente como para darles mi número de tarjeta de crédito (por ejemplo, mi aeropuerto local). Cuando me conecto a su red Wi-Fi, mi navegador web se redirige desde cualquier página a su página de pago cautivo.

Con suerte, estarían usando un dominio de la empresa y HTTPS. Si tengo mucha suerte, incluso podría ser un certificado EV con el nombre de la compañía.

Parece que algunos teléfonos, en particular la versión actual de iOS, muestran estas formas cautivas en una interfaz especial, en lugar del navegador estándar. Lo mejor que puedo decir de la guía oficial , no hay forma en esta interfaz especial de verificar el certificado SSL . Muestra el dominio, pero no el estado del certificado.

¿Esta interfaz solo funciona si el portal utiliza HTTPS y el certificado es válido? ¿Hay alguna forma de ver el certificado real, o al menos si se trata de un certificado de dominio o EV? No es infrecuente que las empresas utilicen un dominio separado extraño que no se puede saber si es suyo, pero si utilizaron EV en él, tiene cierta confianza en que es suyo.

    
pregunta RomanSt 21.05.2015 - 16:23
fuente

2 respuestas

2

Permitiré que alguien más responda sobre cómo la interfaz del portal cautivo de iOS muestra el estado del certificado y si el portal cautivo se sirve a través de HTTPS, pero sí conozco una solución.

Cuando se conecte a una red Wi-Fi abierta, descarte la hoja de portal cautiva y luego haga clic en el ícono "i" de la entrada de red a la derecha en la lista de redes Wi-Fi. Eso mostrará las propiedades de la red e incluirá un interruptor de "Inicio de sesión automático" que controla si iOS intenta detectar y manejar el portal cautivo. Apágalo. De esa manera, iOS se conectará a la red y podrá usar el navegador Safari estándar para iniciar sesión en el portal cautivo, que muestra un icono de candado si la página se sirve a través de HTTPS.

Una solución aún mejor sería hacer que su proveedor público de Wi-Fi use EAP para autenticar a los usuarios en lugar de los portales cautivos horribles e inseguros.

    
respondido por el André Borie 18.09.2015 - 22:51
fuente
1

Estoy seguro de que Apple intenta hacerlo seguro, pero no hay una manera real de saber exactamente cómo lo definen como "seguro". Como parece que tiene algunos requisitos bastante estrictos para considerar que una conexión de este tipo es segura, asumo que lo que el sistema operativo proporciona está utilizando un estándar más bajo.

Por lo tanto, si puede, abra la página en su navegador y realice las comprobaciones de seguridad estándar en lugar de utilizar la funcionalidad del sistema operativo.

    
respondido por el Neil Smithline 21.05.2015 - 18:31
fuente

Lea otras preguntas en las etiquetas