El objetivo principal de WinSCP es proporcionar un canal seguro entre una computadora y un servidor. "Seguro" significa que existe la posibilidad de que un atacante pueda ver o modificar los bytes enviados en ambos sentidos. Supongamos que tengo claves del servidor pero no tengo instalado WinSCP (o las tengo pero quiero actualizarlas). En ese caso, voy a descargar WinSCP desde winscp.net que NO es https y, por lo tanto, las páginas web que recibo pueden ser cambiadas por un atacante capaz de modificar los bytes enviados / recibidos. La página web de descarga proporciona sumas de comprobación que también pueden ser modificadas por un atacante.
Las preguntas son:
-
¿Por qué los autores de WinSCP aún no implementaron https en el sitio web?
-
¿Qué puedo hacer para prevenir un ataque descrito?