Formas de derrotar a SSL

5

Vi este video en el que el tipo habla sobre formas de derrotar a SSL. Pero el video tiene 4 años. Quería saber si estos ataques son relevantes incluso ahora, o si se han realizado algunas actualizaciones para abordarlos.

Los dos diferentes ataques (o herramientas) de los que habló en el video son

  • SSL-Strip : es como un hombre en el medio en la cadena de certificados or en algunos casos sin cadena de certificados. Puede funcionar aprovechando los certificados con prefijo nulo.
  • SSL-Sniff : monitorea la transición / redirección de la página web de http a la versión https.

Supongo que el ataque SSL-Strip debería ser relevante incluso ahora. Soy un novato en el protocolo ssl, así que perdóname si tengo una comprensión errónea de ello. Cualquier buen material de lectura sobre el mismo sería apreciado.

    
pregunta Ravi Upadhyay 11.11.2015 - 04:45
fuente

1 respuesta

10
  • sslstrip: este es un ataque degradado, es decir, el navegador se ve obligado a usar HTTP inseguro en lugar de HTTPS. Todavía es posible, pero puede ser mitigado por el servidor con HSTS , al menos para los navegadores compatibles. La mayoría de los navegadores actuales lo admiten, consulte caniuse.com para obtener más detalles.
  • sslsniff: Este es un ataque de hombre en el medio. Los navegadores detectaron esto hace ya 4 años, pero ahora tienen advertencias en su mayoría más estrictas y cuando se combinan con HSTS, el navegador ya no permitirá omitir esta advertencia.
  

Cualquier buen material de lectura sobre el mismo sería apreciado.

Para obtener más detalles sobre las técnicas de mitigación y sus límites, lea sobre HSTS , HPKP y cómo estas técnicas ayudó a detectar ataques reales .

    
respondido por el Steffen Ullrich 11.11.2015 - 07:15
fuente

Lea otras preguntas en las etiquetas