¿Problema real? El cambio de teléfono de 3G al enrutador hace que el cambio de sesión de https a http

2

He oído que existe un problema de seguridad en algunos casos cuando un teléfono móvil tiene:

  1. Conectado a un sitio web a través de https a través de 3G
  2. Se conecta a un enrutador

Me han dicho que en este caso particular, el enrutador mantiene la conexión https, pero la conexión del teléfono al enrutador es http.

¿Alguien ha oído hablar de este problema? ¿Alguien puede confirmarlo o negarlo?

    
pregunta hawkeye 21.02.2013 - 11:34
fuente

2 respuestas

0

Si el teléfono cambia de red, debería crear una nueva conexión. El enrutador puede comportarse de la manera que usted describe solo al hacer que un servidor escuche en el puerto 80 (HTTP) y luego enviar los datos a una sesión diferente a través de HTTPS.

Un simple problema de configuración no puede producir los servidores necesarios y el comportamiento de proxy para que su escenario sea válido.

Existe el ataque SSLStrip que es similar a tu descripción pero implica muchos más pasos.

    
respondido por el Cristian Dobre 21.02.2013 - 11:54
fuente
0

... y escuché que encontraron un bombardero B52 en la luna.

Ciertamente, hay algunos navegadores que no usan HTTP / HTTPS para conectarse a un sitio web, sino que se usa un protocolo propietario para conectarse a un proxy de traducción. Los navegadores IIRC Opera y RIM todavía hacen esto, en cuanto a si el cifrado sigue la URL ... necesitaría investigar un poco más, sin embargo, cada vez más los teléfonos se comportan de la misma manera que cualquier otro dispositivo.

Aunque SPDY (y, por lo tanto, HTTP / 2.0) tiene un rendimiento mucho mayor, hay problemas de rendimiento y seguridad con un dispositivo que cambia la dirección IP en medio de una sesión HTTP (y TLS), pero esto no debe causar pérdida de la capa de encriptación.

    
respondido por el symcbean 22.02.2013 - 11:11
fuente

Lea otras preguntas en las etiquetas