Amenazas contra el sitio web que se ejecuta sin TLS pero con mensajes PGP

Question

Amenazas contra el sitio web que se ejecuta sin TLS pero con mensajes PGP

#1 de G4spr (2 votos)

2

¿Existe alguna amenaza contra un sitio web que no esté ejecutando SSL pero que use PGP para cifrar toda la información al servidor (excepto el identificador de sesión)

El flujo de información es como tal: 1. ID de sesión establecida en el navegador del usuario 2. El usuario selecciona un libro de una lista de libros y lo envía al Servidor 3. El usuario envía la información de la tarjeta de crédito al servidor 4. El servidor muestra el libro descargable (el enlace se genera aleatoriamente y es temporal)

tls man-in-the-middle pgp

pregunta User43234 01.04.2014 - 17:05

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls man-in-the-middle pgp

Confíe en una CA no root en OpenSSL Apache, DocumentRoot y recorrido de ruta - / manual / query

score 2 · Accepted Answer

El problema principal que encuentra es con la validación de la información, sin validar la clave PGP del servidor, no puede confirmar la integridad ni la confidencialidad de su información.

Que podría pasar:

Servidor: envía la clave pública al cliente;

Man-in-the-middle: Reciba la clave pública y envíe su propia clave pública a la víctima;

Víctima: recibe la clave pública del atacante;

Cuando el servidor envía información a la víctima, el atacante simplemente lee, o la cambia, y luego la envía a la víctima.