Aclaración de los ataques MITM y el requisito del certificado digital

Question

Aclaración de los ataques MITM y el requisito del certificado digital

#1 de ndrix (3 votos)
#2 de TimC (0 votos)

0

Estamos ejecutando una aplicación de Portal para nuestro cliente con Payment Gateway integrado. La pasarela de pago utiliza SSL como se supone que debe ser.

Lo que me preocupa es que nuestra aplicación del Portal no usa HTTPS, lo que lo hace susceptible a los ataques MITM, pero como la pasarela de pago utiliza SSL, ¿estamos abiertos a los ataques MITM? ¿Cuáles son los otros riesgos involucrados?

En función de las sugerencias que aquí presentamos, intentaré convencer a nuestro cliente para que compre un certificado digital de una autoridad certificadora que lo registre si es necesario.

digital-signature tls http linux apache

pregunta Zama Ques 03.07.2014 - 08:28

fuente

2 respuestas

Lea otras preguntas en las etiquetas digital-signature tls http linux apache

Cómo publicar comentarios en sitios web sin ser rastreado ¿Qué es la "red de confianza" en PGP y S-MIME? [duplicar]

score 3 · Answer 1

A menudo no es solo el caso de que la "información de pago" sea la única información confidencial. Si su portal requiere algún tipo de "inicio de sesión" (que indudablemente lo requiere), permite que muchas partes intermedias (propietarios de cibercafés, ISP, "hackers", empleadores, gobiernos, ...) vean estas credenciales y se encarguen de cuenta.

Si su portal tiene algo en términos de pagos recurrentes, lo que puede configurar desde su lado no seguro o cualquier solicitud que afecte a la cuenta del sujeto, no ofrece protección para eso.

Los certificados SSL y los beneficios que ofrecen (incluso si se trata de una imagen profesional y confiable) superan con creces el precio barato.

score 0 · Answer 2

Esta es una suposición, pero presumiblemente su sitio es en su mayor parte HTTP, entonces, cuando necesita procesar un pago, ¿se convierte en HTTPS o se reenvía a una página HTTPS?

Si es así, existe un riesgo, ya que es posible engañar a los usuarios para que visiten una página HTTPS solo a través de HTTP. Por ejemplo, consulte enlace .

Como alude m1ke, puede tener fiestas entre su cliente y el servidor, por ejemplo, una cafetería. En este escenario, es perfectamente plausible que hagan algo como SSL Strip, por lo que es posible que sus usuarios no estén usando SSL para su pago después de todo.

Por no mencionar el hecho de que si no está utilizando SSL para la parte "principal" de su sitio, corre el riesgo de que alguien cree una réplica maliciosa y la use para ataques de phishing o para engañar a los usuarios para que usen La versión incorrecta del sitio en lugar de la versión real: si esto sucede, los malos tienen el control completo de cualquier información que el usuario envíe, incluida la información personal y financiera.