[pyar] Auth entre servidor / cliente usando https y evitar robo de info en el medio ...

Roberto Alsina ralsina en netmanagers.com.ar
Lun Ene 17 12:00:32 ART 2011

Mensaje anterior: [pyar] Auth entre servidor / cliente usando https y evitar robo de info en el medio ...
Próximo mensaje: [pyar] Auth entre servidor / cliente usando https y evitar robo de info en el medio ...
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

On 1/17/2011 11:46 AM, Daniel Moisset wrote:
> El tema es que el MITM puede generar un par de claves propio, y 
> mandarle eso al cliente. Como el cliente no tiene forma de saber que 
> esta hablando con un MITM y no con el servidor (si supieras, no 
> tendrias todo este problema), le acaba mandando las cosas encriptadas 
> para el mitm. el mitm desencripta, anota tu password en un papelito, 
> reencripta con la clave que le mando el servidor de verdad, y manda eso.
No si usas un certificado "de verdad" porque ahí el par de claves lo 
validás contra la firma de verisign o quien sea. Para hacer un MITM 
exitoso ahí tenés que comprometer el cliente primero, en cuyo caso para 
qué te vas a calentar con un MITM :-)

Mensaje anterior: [pyar] Auth entre servidor / cliente usando https y evitar robo de info en el medio ...
Próximo mensaje: [pyar] Auth entre servidor / cliente usando https y evitar robo de info en el medio ...
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the pyar mailing list