L'intero punto di WinSCP è fornire un canale sicuro tra un computer e un server. "Sicuro" significa che esiste la possibilità che un utente malintenzionato possa visualizzare o modificare byte inviati in entrambe le direzioni. Supponiamo di avere le chiavi dal server ma non ho installato WinSCP (o lo ho ma voglio aggiornarlo). In tal caso, scaricherò WinSCP da winscp.net che NON è https e quindi le pagine web che ottengo possono essere modificate da un utente malintenzionato in grado di modificare i byte inviati / ricevuti. La pagina web di download fornisce i checksum che possono anche essere modificati da un utente malintenzionato.
Le domande sono:
-
Come mai gli autori di WinSCP non hanno ancora implementato https sul sito web?
-
Che cosa posso fare per impedire l'attacco descritto?