[pyar] Auth entre servidor / cliente usando https y evitar robo de info en el medio ...

[Emiliano Dalla Verde Marcozzi]

2011/1/17 Daniel Moisset <dmoisset en machinalis.com>

> https esta bastante bien hecho, y no se te pueden meter transparentemente
> al medio si haces las cosas bien. Es decir, armar un certificado de una CA,
> firmar con ese el certificado que usas en el server, y poner la clave
> publica de la CA en los clientes. Si no sabes quienes vas a ser los
> clientes, podes pedir una firma de una CA conocida, pero te la van a cobrar.
>
Antes que nada, gracias por tu respuesta Daniel ... estoy leyendo sobre el
protocolo https y voy a ver como es este maneje de que los clientes utilicen
la cllave publica ...


> Si no, estas reinventando la rueda de oido, cosa que en seguridad suele ser
> mala idea :)
>
> En particular, el esquema que propones es la misma idea que SSL, y lo estas
> haciendo sin firmas o sea que estas expuesto a exactamente el mismo tipo de
> ataque de man in the middle que estabas queriendo evitar inicialmente.
>
Aca entro en duda ... si estoy encriptando la info con openpgp, por mas que
logren realizar un MITM, no podrian acceder a la data, correcto ? Por otro
lado, cifrando con https como me aclaras arriba, y ademas encriptando la
data que va por este canal seguro, es absurdo ? yo lo veo como un doble
chaleco antibalas :P ...

-- 
*Emiliano Dalla Verde Marcozzi*
Encargado de IT y Python Ninja Developer



San Juan 4879
Rosario. Argentina
Tel. (+54) 341 437 6878
www.airtrack.com.ar

"Chuck Norris doesn't need a debugger, he just stares down the bug until the
code confesses."
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20110117/0dda5b95/attachment.html>