Me he fijado que "todas" las webs que tienen sistemas de pago usan para estos el protocolo https, pero en algunos casos para que inicien sesión los usuarios no usan el mismo protocolo.
¿No sería esto un bug importante? me refiero a que si la información viaja sin cifrar y en una red wifi pública o sin contraseña les pueden robar sus cuentas...
Para el atacante sería tan facil como ir a una biblioteca pública con wifi y usar Firefox con el addon Firesheep, o capturar paquetes con Wireshark.
Correcto! :D
Saludos
Entonces pienso que en un futuro no muy lejano todas las páginas web que manejen sistemas de logueo tendrán que ofrecer al menos https a sus clientes.
En un futuro?, es algo que a día de hoy ya se le critican a las páginas. Si no utilizas httpS bien, pero si utilizas httpS y tienes el login por http, entonces no tiene mucho sentido. En realidad, de lo que se aprovecha sslstrip (http://www.thoughtcrime.org/software/sslstrip/) por ejemplo es justamente del pasaje de http a httpS.
Saludos
Ok, gracias por la info.
Es una pena que esto sea así, porque ahora que las redes wifi están tan extendidas y la gente compra tanto por Internet, se pone en peligro un modelo de negocio que podría ser más seguro.
PD: Se que en elhacker.net el https está reservado a colaboradores y usos puntuales en caso de estar escribiendo desde redes inseguras...
por lo general los wifi públicos crean una VLAN por cada equipo, asi evitan que un MiTM sea exitoso.