Contraseña robada en wifi pública a pesar de que se utilizó https [duplicado]

Question

Contraseña robada en wifi pública a pesar de que se utilizó https [duplicado]

#1 de tlng05 (0 votos)

0

Vi este video donde la reportera de noticias está en un lugar público, y un experto en seguridad le demuestra que a pesar de que inició sesión en la página que estaba usando https, ese tipo tiene una contraseña en su computadora.

¿Cómo podría funcionar eso, alguna idea? No puedo encontrar el video, pero el video no tenía más detalles ni palabras para leer al lado de eso, tenga cuidado al usar otras wifis gratuitas. Fue publicado poco antes de los Juegos Olímpicos en Rusia.

Pensé que https era seguro, pero él mostró en la pantalla la contraseña que ella había escrito en el formulario de inicio de sesión.

tls wifi

pregunta Muhammad Umer 20.09.2014 - 07:08

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls wifi

¿Cómo importo una clave PGP privada de GnuPG en la línea de comandos de Symantec PGP? ¿Cómo funciona un archivo de claves?

score 0 · Answer 1

¿Es este el video al que te refieres?

Si el sitio no tiene HSTS (HTTP Strict Transport Security) habilitado, creo que puede capturar información de inicio de sesión sin generar una advertencia de certificado utilizando software como SSLstrip.

SSLstrip no se molesta en falsificar un certificado; en cambio, elimina SSL por completo. Se puede acceder a muchas páginas web a través de HTTP estándar y HTTPS seguro, pero la página HTTP estándar redirige a la versión HTTPS. SSLstrip funciona al observar estos redireccionamientos y luego lo bloquea para asegurarse de que la víctima vaya a una versión HTTP de la página de inicio de sesión. Si el atacante quiere mantener el símbolo del candado, puede redirigir a la víctima a una página de inicio de sesión falsa en su propio servidor que utiliza HTTPS.

Para protegerse, siempre debe mirar la barra de direcciones para asegurarse de que HTTPS esté realmente en uso cuando espera que lo esté, y que la URL del sitio coincida con lo que esperaba. También eche un vistazo a HTTPS Everywhere .

Consulte ¿Cómo frustrar el ataque sslstrip?