Che cosa può fare un certificato di fiducia?

Question

Che cosa può fare un certificato di fiducia?

#1 da (2 voti)

1

Sto facendo qualche lettura sulla sicurezza delle applicazioni mobili perché ho trovato un articolo su Man in the Middle Attacks.

Ho visto in quell'articolo e in molti altri luoghi (incluso security.stackexchange), che se l'utente installa un certificato di una terza parte sconosciuta, quella terza parte può esercitare attacchi MitM in altre app del dispositivo.

Fondamentalmente quello che voglio capire è perché? Come può questo certificato di terze parti essere una vulnerabilità su altre app? Voglio capire come funzionano questi certificati in questo senso.

Ho letto di autorità di certificazione, certificati radice, catena di fiducia e questioni correlate, il che mi rende ancora più confuso su come qualcosa di "autofirmato" sarebbe una vulnerabilità di sicurezza.

Qualcuno può darmi una breve spiegazione su come / perché questo accade? O anche fornirmi link / libri con informazioni pertinenti.

certificates man-in-the-middle certificate-authority

posta Rodrigo Sasaki 09.02.2016 - 02:00

fonte

1 risposta

Leggi altre domande sui tag certificates man-in-the-middle certificate-authority

Quanto è limitato un Asp. Net Web App con ipSecurity abilitato? Quanto grande è la finestra sicura e pratica con TOTP?

score 2 · Accepted Answer

I saw in that article and in many other places (including security.stackexchange), that if the user installs a certificate of an unknown 3rd party. That 3rd party can exercise MitM attacks in other apps of the device.

Se installi un certificato per un'agenzia di certificazione (non un certificato per un sito), allora ti fidi pienamente dell'agenzia di certificazione, cioè permetti di firmare i certificati per qualsiasi altro sito, anche per i siti in cui altre agenzie hanno già emesso certificati . E questo permette agli attacchi dell'uomo in mezzo.

Questo sarebbe simile se hai un nuovo amico e ti fidi completamente di questo amico. Se poi arriva un tizio ombroso che afferma di essere la tua banca e presenta un documento firmato dal tuo amico che attesta questo reclamo, allora crederesti a questo ragazzo solo perché ti fidi del tuo amico completamente. Quindi è possibile che qualcuno impersoni qualcun altro con l'aiuto del tuo amico. E questo rende possibile l'attacco degli uomini nel mezzo, dove l'uomo al centro impersona la vera destinazione.