Paypal IPN, SSL e attacchi man-in-the-middle

1. Questo dovrebbe essere sicuro contro gli attacchi man-in-the-middle se la tua macchina controlla di aver ricevuto un certificato valido per Paypal dal suo corrispondente.

   Tieni presente che alcune librerie SSL lasciano all'utente il compito di implementare / richiedere questo controllo, quindi dovrai confermare attentamente che il codice sta eseguendo tale controllo. (Poiché la tua macchina sta iniziando la richiesta HTTP su Paypal, per gli scopi del protocollo SSL, la tua macchina è il client e Paypal è il server.)

2. No. L'acquisto del proprio certificato non è di aiuto con questa comunicazione con Paypal, quando la macchina sta iniziando una richiesta HTTP su Paypal. (Tuttavia, potrebbero esserci altri motivi per cui è utile che i tuoi utenti si connettano al tuo sito tramite HTTPS piuttosto che HTTP, che richiede un certificato.)

SSL è immune al MITM purché one dei peer sia autenticato. Normalmente questa è la fine del server della transazione, in questo caso Paypal), a meno che qualcuno non abbia violato il client e 'solo cercando di farlo funzionare', ad es. accettando qualsiasi cosa sulla via di un certificato del server.

@kamziro: non sono sicuro dei comandi IPN paypal ... ma in generale, se vuoi evitare che l'uomo si attacchi in mezzo all'attacco SSL, devi seguire: - i) SSL che coinvolge l'autenticazione del client, il che significa che Paypal dovrebbe autenticare la certificazione del server durante la fase di autenticazione del certificato client. ii) Utilizzeresti forse il certificato SSL Paypal per crittografare il comando IPN e puoi firmare digitalmente con la tua chiave privata che può essere verificata sul lato paypal per l'autenticità del mittente.