Preguntas con etiqueta 'man-in-the-middle'

preguntas con etiqueta
2
respuestas

¿Por qué Stack Overflow no usa HTTPS en todas sus páginas?

La mayoría de las páginas web de Stack Overflow usan http, incluso si está conectado. ¿No es un problema de seguridad? ¿Un intruso podría robar mi sesión y la cookie de autenticación y suplantarme desde que se envió a través de http? Edi...
hecha 09.09.2014 - 19:24
4
respuestas

¿Puede o debería la lista blanca reemplazar el cifrado?

Me he dado cuenta de que hay un servicio web de terceros que utilizamos mediante programación en mi trabajo para transmitir información sensible y me sorprendió ver que el punto final solo usaba http, en lugar de https. Tras una investigación ad...
hecha 14.04.2016 - 15:42
4
respuestas

¿Por qué un pirata informático no puede obtener un nuevo certificado SSL para su sitio web?

SSL está destinado a proteger su sitio web de un ataque de intermediario. Pero si alguien puede hacer eso, ¿no podría eso simplemente solicitar un nuevo certificado de una CA y luego modificar el tráfico enviado de la CA al servidor (que obvi...
hecha 19.12.2016 - 22:53
2
respuestas

¿Cómo este "portal cautivo" intercepta y manipula mis solicitudes HTTP?

A veces utilizo un servicio Wifi gratuito para acceder a Internet. Como la mayoría / todos los proveedores de servicios como este, este servicio emplea un portal cautivo . Entonces, si intenta realizar una solicitud HTTP (solicitar una página...
hecha 08.08.2016 - 05:51
3
respuestas

Para una aplicación web HTTPS, ¿vale la pena cifrar la contraseña antes de enviarla por POST, para evitar que un atacante MITM la capture?

Nuestra aplicación ha pasado recientemente por pruebas de penetración. La prueba encontró una violación de seguridad crítica , que es esencialmente: El problema: El atacante configura un punto WiFi. El usuario ingresa a nuestro sitio (...
hecha 31.08.2014 - 10:47
3
respuestas

Pasar de HTTP a HTTPS redirigir 301 en caché para usar SSLstrip

Estoy haciendo un poco de pluma. pruebas en un servidor HTTPS (443) que no tiene HSTS implementado (no hay encabezados HSTS en la respuesta y la dirección no está en la lista de precarga de Chrome HSTS). El problema es que, en mi caso, el usu...
hecha 23.12.2015 - 19:38
7
respuestas

¿Por qué los exploradores permiten CAs raíz personalizadas?

En mi trabajo, todos los navegadores tienen instalada una CA raíz personalizada, que luego les permite interceptar todo el tráfico https, mientras que los usuarios tienen la falsa impresión de que están navegando en una página https segura. ¿...
hecha 26.07.2018 - 16:24
4
respuestas

¿Cómo puede una aplicación web proteger a los usuarios cuando el navegador no es compatible con HSTS?

HTTP Strict Transport Security (HSTS) es una característica muy útil para prevenir OWASP a9 violaciónes y ataques como SSLStrip que intenta evitar que el cliente realice una conexión segura. Sin embargo, esta tecnología no se encuentra en v...
hecha 06.11.2012 - 17:22
5
respuestas

¿Qué impide que un hombre en el medio solicite un certificado para su servidor?

Supongamos que tiene un servidor en shop.example.com y está solicitando un certificado de alguna CA confiable como Comodo (dicen que lo emitirán en unos minutos en línea). En primer lugar, ¿cómo pueden asegurarse de que realmente ere...
hecha 24.07.2015 - 15:39
2
respuestas

Riesgos específicos de incrustar un iframe HTTPS en una página HTTP

Necesito ayuda para enumerar los riesgos específicos de incrustar un iframe HTTPS que permita el pago con tarjeta de crédito dentro de una página HTTP. ¿Hay problemas de seguridad? ¿Con incrustar un iframe HTTPS en una página HTTP? proporciona...
hecha 02.07.2013 - 20:34