[Lugbz-list] Men in the middle
Davide
d at vide.bz
Sun Jul 20 18:56:22 CEST 2008
Ciao,
buona idea quella di fare una simulazione ...
perche' in un prossimo incontro del lug non facciamo?
Il 20/07/08, Chris Mair<chris a 1006.org> ha scritto:
>>
>> Tu cosa mi riesci a confermare?
>>
>
>
> Niente di questo...
>
> Prova tu stesso: prendi due server https con certificati riconosciuti
> dal
> tuo browser, determina il loro IP (dig), poi nel /etc/hosts metti una
> riga tipo
>
> ip_del_server_a nome_del_server_b
>
> chiudi e apri il browser e collegati a
>
> https://nome_del_server_b
>
> verrai salutato da un bel popup, poliziotto giallo ;) o cosa mai...
>
> Un proxy https che cercasse di fare man in the middle triggerebbe
> lo stesso sintomo.
>
> Ovviamente un proxy e` libero di farci tunnellare il traffico tra client
> e server ma non potra influenzarlo o leggerlo.
>
> Il weakest link di tutto questo secondo me sono le CA - non metterei
> la mano nel fuoco che uno non riesca a farsi firmare un certificato
> per un dominio non suo *in* *qualche* *caso* *isolato*.
>
> Cmq, il tuo "evil hotel owner" dovrebbe riuscire a farsi firmare
> certificati per gmail.com, hotmail.com, gmx.de, ... per poter
> leggere le mail dei suoi clienti: non e` esattamente un operazione
> facile, ovvero il seguente dialogo e` alquanto imaginario:
>
> Thawte: Thawte, Buon Giorno.
>
> Hotel owner: Buon giorno. Sono Eve L. Hotelowner.
> Senta: avrei bisogno di farmi firmare questi certificati
> qui,
> associati a gmail.com, hotmail.com e gmx.de.
>
> Thawte: nessun problema, mandi pure i certificati. Paga con carta
> di credito?
>
> Bye :)
> Chris.
>
>
>
> _______________________________________________
> http://www.lugbz.org/mailman/listinfo/lugbz-list
>
More information about the Lugbz-list
mailing list