Seguridad HTTPS

Iniciado por Agata33, 2 Enero 2018, 12:51 PM

0 Miembros y 1 Visitante están viendo este tema.

Agata33

Hola:
Estoy creando una aplicación para móvil de notificación de incidencias, donde se puede enviar avisos de desperfectos en el mobiliario urbano indicando la dirección donde se encuentra el desperfecto y también se puede enviar una foto. Si atacan mi aplicación superando los mecanismos de cifrado que proporciona HTTPS, podrían modificar las propiedades de la incidencia, por ejemplo, cambiando la localización de la incidencia, o podrían llegar a crear una o varias nuevas incidencias.
Por otra parte, si usara JWT (JSON Web Token), ¿me solucionaría algún problema?
Gracias

engel lex

si atacan y te rompen HTTPS estás en un problema muy grave... en este caso la seguridad de tu servidor para nada sirve ya y tus usuarios están en riesgo...

por otro lado

CitarSi atacan mi aplicación superando los mecanismos de cifrado que proporciona HTTPS, podrían modificar las propiedades de la incidencia, por ejemplo, cambiando la localización de la incidencia, o podrían llegar a crear una o varias nuevas incidencias.

esto lo pueden hacer sin necesidad de alterar el https, solo tienen que abrir tu petición en el navegador o un sistema personalizado... cambiar la localización de la incidencia es facil con un sistema de "falsificación de ubicacion gps", son programas que le dicen al telefono que leer en lugar del gps

CitarPor otra parte, si usara JWT (JSON Web Token), ¿me solucionaría algún problema?

nope, violados los mecanismos anteriores no hay forma de validar, se llaman "ataques de confianza"

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

HardC0d3

Pregunto desde la ignorancia:


Citar
engel lex:
Si atacan y te rompen HTTPS estás en un problema muy grave...
¿Se puede romper un certificado SSL? y ¿Cómo evitas que "rompan el HTTPS" o el certificado?
Sé que se puede "trampear" pero ¿El estandar HSTS no protege contra SSLstrip y demás ataques?


Citar
Agata33:
... podrían modificar las propiedades de la incidencia.

engel lex:
Esto lo pueden hacer sin necesidad de alterar el https, solo tienen que abrir tu petición en el navegador o un sistema personalizado.

¿Cómo se protegen las webs y aplicaciones contra esto?

Gracias.

engel lex

Citar¿Se puede romper un certificado SSL? y ¿Cómo evitas que "rompan el HTTPS" o el certificado?

a la primera, basicamente no, no se puede actualmente a menos que use un metodo de cifrado inseguro... sin embargo un atacante podría ponerse en el medio y usar su cifrado, aunque hsts te protege de eso, no es infalible

a la segunda, instalas un certificado fijo, así no hay cifrado intermedio que valga ya que el cifrado tiene que coincidir con la firma digital...


Citar¿Cómo se protegen las webs y aplicaciones contra esto?
no te puedes proteger contra que el usuario mande datos alterados, por esto se llama "ataque de confianza", es como detectar que quien introduce la contraseña no es el humano que la creó...
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.