Protocolo https y sistemas de pago

Gambinoh · 22 Agosto 2011, 13:57 PM

Me he fijado que "todas" las webs que tienen sistemas de pago usan para estos el protocolo https, pero en algunos casos para que inicien sesión los usuarios no usan el mismo protocolo.

¿No sería esto un bug importante? me refiero a que si la información viaja sin cifrar y en una red wifi pública o sin contraseña les pueden robar sus cuentas...

Para el atacante sería tan facil como ir a una biblioteca pública con wifi y usar Firefox con el addon Firesheep, o capturar paquetes con Wireshark.

Novlucker · 22 Agosto 2011, 14:59 PM

Correcto!

Saludos

Gambinoh · 22 Agosto 2011, 16:10 PM

Entonces pienso que en un futuro no muy lejano todas las páginas web que manejen sistemas de logueo tendrán que ofrecer al menos https a sus clientes.

Novlucker · 22 Agosto 2011, 16:33 PM

En un futuro?, es algo que a día de hoy ya se le critican a las páginas. Si no utilizas httpS bien, pero si utilizas httpS y tienes el login por http, entonces no tiene mucho sentido. En realidad, de lo que se aprovecha sslstrip por ejemplo es justamente del pasaje de http a httpS.

Saludos

Gambinoh · 22 Agosto 2011, 16:42 PM

Ok, gracias por la info.

Es una pena que esto sea así, porque ahora que las redes wifi están tan extendidas y la gente compra tanto por Internet, se pone en peligro un modelo de negocio que podría ser más seguro.

PD: Se que en elhacker.net el https está reservado a colaboradores y usos puntuales en caso de estar escribiendo desde redes inseguras...

dantemc · 25 Agosto 2011, 22:44 PM

por lo general los wifi públicos crean una VLAN por cada equipo, asi evitan que un MiTM sea exitoso.

Test Foro de elhacker.net SMF 2.1

Protocolo https y sistemas de pago

Gambinoh

Novlucker

Gambinoh

Novlucker

Gambinoh

dantemc