¿Puede HTTPS-en todas partes prevenir un ataque de supresión de SSL?

3

Si configuro HTTPS-Everywhere para bloquear todas las solicitudes no cifradas, y mi conexión es de tipo intermediario por un nodo malicioso de salida Tor cuando me conecto a un sitio web que, de forma predeterminada, utiliza HTTPS, entonces la extensión ¿Impedir que el sitio se cargue por completo y, por lo tanto, evitar que mis credenciales de inicio de sesión u otros datos sean detectados por el nodo?

    
pregunta user311982 01.12.2016 - 17:43
fuente

1 respuesta

3

Sí. Si HTTPS-Everywhere está configurado para bloquear todas las solicitudes sin cifrar, su navegador nunca establecerá una conexión HTTP simple sin TLS, sin importar lo que suceda.

Cómo se ve el resto de las redes y dónde está el atacante es irrelevante aquí. El hombre del medio puede ser un nodo malicioso de salida Tor, un enrutador pirateado, su ISP, pero aún así no podrán degradar nada a HTTP ya que su navegador no aceptará dicha conexión.

    
respondido por el Anders 01.12.2016 - 17:57
fuente

Lea otras preguntas en las etiquetas