[pyar] Auth entre servidor / cliente usando https y evitar robo de info en el medio ...

[Roberto Alsina]

On 1/17/2011 12:03 PM, Daniel Moisset wrote:
> 2011/1/17 Roberto Alsina<ralsina en netmanagers.com.ar>:
>> >  On 1/17/2011 11:46 AM, Daniel Moisset wrote:
>>> >>
>>> >>  El tema es que el MITM puede generar un par de claves propio, y mandarle
>>> >>  eso al cliente. Como el cliente no tiene forma de saber que esta hablando
>>> >>  con un MITM y no con el servidor (si supieras, no tendrias todo este
>>> >>  problema), le acaba mandando las cosas encriptadas para el mitm. el mitm
>>> >>  desencripta, anota tu password en un papelito, reencripta con la clave que
>>> >>  le mando el servidor de verdad, y manda eso.
>> >
>> >  No si usas un certificado "de verdad" porque ahí el par de claves lo validás
>> >  contra la firma de verisign o quien sea. Para hacer un MITM exitoso ahí
>> >  tenés que comprometer el cliente primero, en cuyo caso para qué te vas a
>> >  calentar con un MITM:-)
> Claro, eso le mismo le estoy diciendo (fijate mi primer email).
>

Ahhhhhhhh! Me está pasando seguido esto. Debe ser culpa del alemán ese 
que no me acuerdo el nombre :-)