Amenazas contra el sitio web que se ejecuta sin TLS pero con mensajes PGP

2

¿Existe alguna amenaza contra un sitio web que no esté ejecutando SSL pero que use PGP para cifrar toda la información al servidor (excepto el identificador de sesión)

El flujo de información es como tal: 1. ID de sesión establecida en el navegador del usuario 2. El usuario selecciona un libro de una lista de libros y lo envía al Servidor 3. El usuario envía la información de la tarjeta de crédito al servidor 4. El servidor muestra el libro descargable (el enlace se genera aleatoriamente y es temporal)

    
pregunta User43234 01.04.2014 - 17:05
fuente

1 respuesta

2

El problema principal que encuentra es con la validación de la información, sin validar la clave PGP del servidor, no puede confirmar la integridad ni la confidencialidad de su información.

Que podría pasar:

Servidor: envía la clave pública al cliente;

Man-in-the-middle: Reciba la clave pública y envíe su propia clave pública a la víctima;

Víctima: recibe la clave pública del atacante;

Cuando el servidor envía información a la víctima, el atacante simplemente lee, o la cambia, y luego la envía a la víctima.

    
respondido por el G4spr 20.01.2015 - 00:51
fuente

Lea otras preguntas en las etiquetas