Minacce contro il sito Web in esecuzione senza TLS ma con messaggi PGP

Question

Minacce contro il sito Web in esecuzione senza TLS ma con messaggi PGP

#1 da (2 voti)

2

Esistono minacce contro un sito Web che non sta eseguendo SSL ma utilizza PGP per crittografare tutte le informazioni sul server (ad eccezione dell'identificatore di sessione)

Il flusso di informazioni è come tale: 1. ID sessione impostato sul browser dell'utente 2. L'utente seleziona un libro da un elenco di libri e lo invia al server 3. L'utente invia le informazioni della carta di credito al server 4. Il server visualizza il libro scaricabile (il collegamento è generato in modo casuale e temporaneo)

tls man-in-the-middle pgp

posta User43234 01.04.2014 - 17:05

fonte

1 risposta

Leggi altre domande sui tag tls man-in-the-middle pgp

I privilegi di Windows per l'escalation? [chiuso] I servizi certificati non inizieranno con l'errore "server non in linea" [chiuso]

score 2 · Accepted Answer

Il problema principale che riscontri è con la convalida delle informazioni, senza convalidare la chiave PGP del server, non puoi confermare l'integrità e la riservatezza delle tue informazioni.

Che cosa potrebbe accadere:

Server: invia la chiave pubblica al client;

Man-in-the-middle: ricevi la chiave pubblica e invia la sua chiave pubblica alla vittima;

Vittima: riceve la chiave pubblica dell'attacker;

Quando il server invia informazioni alla vittima, l'autore dell'attentato leggerà semplicemente, o lo cambierà, quindi lo invierà alla vittima.