[pyar] Proxy en Pyhon

Roberto Alsina ralsina en netmanagers.com.ar
Jue Mar 10 17:46:09 ART 2011 

On 3/10/2011 5:35 PM, Sebastian Bassi wrote:
> 2011/3/10 Roberto Alsina <ralsina en netmanagers.com.ar 
> <mailto:ralsina en netmanagers.com.ar>>
>
>     On 3/10/2011 5:12 PM, Sebastian Bassi wrote:
>>     2011/3/10 Roberto Alsina <ralsina en netmanagers.com.ar
>>     <mailto:ralsina en netmanagers.com.ar>>
>>
>>         Podes usar HTTP a un server pasando por un proxy HTTPS, y
>>         usar HTTPS a un server pasando por un proxy HTTP, o cualquier
>>         otra combinación.
>>
>>
>>     El tema es que es para pegarle a un servidor de autenticación CAS
>>     y entiendo que el token que te devuelve es secreto y si se puede
>>     ver te podrian hacer un man in the middle.
>
>     No sé ni qué es CAS, pero si manda un secreto sin encriptar, es un
>     moco.
>
>
> Esto es un problema de todos los sistemas de atenticacion que no usan 
> https. Por ejemplo en Facebook si te capturan lo que te devuelve el 
> login, pueden secuestrarte la sesion, de hecho hay un plugin the 
> firefox que hace eso (aprovechando el modo promiscuo de tu plata WIFI 
> para los que usan hotspots abiertos). Por eso Gmail y otros fuerzan el 
> uso de https para el login.

Si, firesheep. Facebook pasó a usar siempre HTTPS hace como dos meses. Y 
hacer eso siempre fué un moco. hace unos meses pasó a ser un moco más 
conocido, digamos.

>     Lo que te "da" usar un proxy https es encriptar la conexion entre
>     vos y el proxy. Del proxy para afuera, no hay diferencia.
>
>
> Creo que no me entendiste, el servidor de CAS escucha solo via https, 
> asi que todo el camino desde mi maquina hasta el CAS deberia estar 
> encriptada.

Entonces de que es lo que tenés miedo que te hagan un man in the middle? 
Si validás el certificado del servidor CAS eso es imposible, y usar un 
proxy https no te da nada. Vos dijiste:

      "es para pegarle a un servidor de autenticación CAS y entiendo que 
el token que te devuelve es
      secreto y si se puede ver te podrian hacer un man in the middle."

Si la conexión al CAS es https y está encriptada no te pueden ver el token.

>     Entonces es eso nomás.
>
>
> Es que cosa: Problema con https o la combinacion proxy https?
>
Es probablemente usar un proxy https.

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20110310/10455fd6/attachment.html>

More information about the pyar mailing list