Ho sentito che in alcuni casi esiste un problema di sicurezza quando un telefono cellulare ha:
Mi è stato detto che in questo particolare scenario il router mantiene la connessione https, ma la connessione dal telefono al router è http.
Qualcuno ha sentito parlare di questo problema? Qualcuno può confermarlo o negarlo?
Se il telefono cambia rete, dovrebbe creare una nuova connessione. Il router può comportarsi nel modo in cui viene descritto solo se il server è in attesa sulla porta 80 (HTTP) e quindi esegue il proxy dei dati avanti e indietro su una sessione diversa tramite HTTPS.
Un semplice problema di configurazione non può produrre i server necessari e il comportamento proxy per lo scenario è valido.
C'è l'attacco SSLStrip che è simile alla tua descrizione ma comporta molti più passaggi.
... e ho sentito che hanno trovato un bombardiere B52 sulla luna.
Certamente ci sono alcuni browser che non usano HTTP / HTTPS per connettersi a un sito Web, ma piuttosto un protocollo proprietario viene utilizzato per connettersi a un proxy di traduzione. I browser IIRC Opera e RIM continuano a farlo, a seconda che la crittografia segua l'URL .... avresti bisogno di fare un po 'più di scavo, tuttavia i telefoni si comportano sempre più come qualsiasi altro dispositivo.
Sebbene SPDY (e quindi HTTP / 2.0) abbia un throughput molto più alto, ci sono problemi di prestazioni e problemi di sicurezza con un dispositivo che cambia indirizzo IP nel mezzo di una sessione HTTP (e TLS) - ma questi non dovrebbero causare perdita del livello di crittografia.
Leggi altre domande sui tag http tls session-management smartphone