la proteccion SSL es segura?¿

Iniciado por Borito30, 23 Abril 2017, 23:41 PM

0 Miembros y 1 Visitante están viendo este tema.

Borito30

Veo muchas paginas que utilizan este tipo de protección y ya a nivel de seguridad es bastante utilizada y me corrio esa duda.
¿Es una buena manera de proteger la información en una pagina web que no queramos revelar?
Estoy en contra del foro libre y la Sección de juegos y consolas (distraen al personal)

engel lex

resumen: si, bastante seguro....

incluso el ataque actual se basa en tratar que el proveedor pase un cifrado debil para romperlo... pero si no tienen sino solo cifrados pesados, no hay via... han conseguido "vulnerabilidades" al cifrado RSA que permite bajar de 4096 bits a creo que 3500bits el cifrado (un lio así medio loco), sin embargo por encima de 1024bits es hoy dia aún incalculable (incluso con supercomputadoras)

caería en más detalle... pero mejor leete los documentos del protocolo y allí te dirá lo necesario

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Borito30

#2
Leyendo este artículo http://www.zdnet.com/article/how-the-nsa-and-your-boss-can-intercept-and-break-ssl/ me dio que pensar.

lo que si sé esque en juegos populares que utilizando certificados SSL han sido vulnerados obteniendo las rsa-key y un proxy que hace mitm entre tu navegador- y la pagina obteniendo la información en texto plano o mismamente usando un certificado falso que sea aceptado por la pagina web.
Estoy en contra del foro libre y la Sección de juegos y consolas (distraen al personal)

engel lex

#3
no es tan simple... tiene que ser una mezcla de cosas, entre ellas, primero ser filtro del 100% de tu conexión (es decir ser tu ISP) ya que no solo tiene que filtrar tu pagina, sino tambien explotar los certificados de las entidades certificadoras...

segundo, hacer el cambio de certificado en fecha de vencimiento (si no, saltará la típica pagina "esta conexión no es segura")

Citarhan sido vulnerados obteniendo las rsa-key

no, nunca tuvieron las key... el certificado nunca fue roto, fue sustituido por uno falso, es un asunto complicado y que requiere atención... en hecho de ahí en más la unica seguridad es que tu fueras a la sede de la pagina en tu país, solicitaras la llave publica de ellos y la metieras a mano... y en este caso, el empleado podría estar pagado por la cia para dar una falsa...

ya para arriba no pueden haber más niveles de seguridad XD (bueno, si, vpn que tiene un certificado fijo, pero no uno publico, sino uno personal que tu hagas el certificado, ya que no sabes si quien te lo dio, lo copia para el, y esto no puede ser por internet, porque si no podrían interceptar tu comunicación original, y tampoco podría ser en tu país ya que si está pegado al mismo isp es cosa de saber que tu vas a allí y de allí sales, ergo lo que salga del servidor, eres tu)
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

kub0x

Con un Proxy para hacer MITM en SSL/TLS necesitas un certificado firmado por una entidad de confianza, supongamos que NSA y similares lo tienen podrían realizar este sistema de espionaje pero...

Hay varias técnicas para evitar esto como puede ser Certificate pinning, Convergence (observatorio de certificados) y Certificate Transparency (repo de certs). Vamos que al que se la cuelan es por que quiere :D

Saludos!
Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate