[pyar] Auth entre servidor / cliente usando https y evitar robo de info en el medio ...
Roberto Alsina
ralsina en netmanagers.com.ar
Lun Ene 17 12:04:15 ART 2011
On 1/17/2011 12:03 PM, Daniel Moisset wrote:
> 2011/1/17 Roberto Alsina<ralsina en netmanagers.com.ar>:
>> > On 1/17/2011 11:46 AM, Daniel Moisset wrote:
>>> >>
>>> >> El tema es que el MITM puede generar un par de claves propio, y mandarle
>>> >> eso al cliente. Como el cliente no tiene forma de saber que esta hablando
>>> >> con un MITM y no con el servidor (si supieras, no tendrias todo este
>>> >> problema), le acaba mandando las cosas encriptadas para el mitm. el mitm
>>> >> desencripta, anota tu password en un papelito, reencripta con la clave que
>>> >> le mando el servidor de verdad, y manda eso.
>> >
>> > No si usas un certificado "de verdad" porque ahí el par de claves lo validás
>> > contra la firma de verisign o quien sea. Para hacer un MITM exitoso ahí
>> > tenés que comprometer el cliente primero, en cuyo caso para qué te vas a
>> > calentar con un MITM:-)
> Claro, eso le mismo le estoy diciendo (fijate mi primer email).
>
Ahhhhhhhh! Me está pasando seguido esto. Debe ser culpa del alemán ese
que no me acuerdo el nombre :-)
More information about the pyar
mailing list