Ad esempio, ho un'applicazione java per applet, quindi questa applicazione accetta userid e password come autenticazione. Posso annusare userid e password sul livello di rete? Le credenziali vengono inviate in formato di testo chiaro?
Infine, come eseguire l'attacco MiTM (Man in The Middle) sull'applet java?
La risposta dipende da come funziona l'applet Java. Se è necessario riconnettersi a un server per verificare che l'ID utente e la password immessi siano corretti, penso che sia in chiaro. Se non si connette a un server (dal momento che una applet Java viene eseguita localmente), non c'è alcuna possibilità di sniffare o man in the middle attack.
Puoi utilizzare Fiddler 2 per lo sniffing dei pacchetti.
Leggi altre domande sui tag java