¿Por qué Firesheep no puede realizar el secuestro de sesión a través de SSL?

10

¿Por qué Firesheep no puede realizar un secuestro de sesión cuando un usuario está usando SSL?

    
pregunta JFW 28.11.2010 - 12:29
fuente

2 respuestas

11

Debe leer el contenido de las transacciones HTTP entre la computadora de la víctima y el servidor remoto. SSL presenta cifrado punto a punto mediante una clave que es negociada por los dos sistemas, por lo que un tercer sistema que no puede leer el contenido pasivamente.

Tenga en cuenta que es posible inspeccionar el contenido SSL interponiendo el sistema de ataque entre las dos partes. Esto se denomina "man-in-the-middle" y es utilizado por los filtros de contenido corporativo para que puedan filtrar la comunicación HTTP y HTTPS.

    
respondido por el user185 28.11.2010 - 12:56
fuente
4

El navegador web y el servidor web establecen una conexión encriptada antes de cualquier comunicación HTTP, por lo que cuando se intercambian los datos de sesión , se encuentran dentro del túnel encriptado y están protegidos de la persona que está en el medio. ataques o escuchas ilegales.

Para obtener más información, consulte el diagrama de secuencia SSL en: enlace

Técnicamente, Firesheep podría iniciar sesión para secuestrar conexiones SSL, pero es probable que reciba una advertencia del navegador sobre el establecimiento de una conexión no confiable, por ejemplo:

Si esto:

  

usted < --- SSL --- > atacante < --- SSL --- & gt ; bank.com

entonces:

    
respondido por el Tate Hansen 28.11.2010 - 19:49
fuente

Lea otras preguntas en las etiquetas