Sto leggendo su SSL stripping e ho una domanda fondamentale sul punto di iniezione che rende questo attacco MITM un successo. Capisco lo scenario tipico -
A (victim) <-- plain --> M (MITM) <== SSL ==> B (Server)
Ora, supponiamo che M e A si trovino sulla stessa rete wifi del coffee shop e che M inizializzi il traffico di A per avvelenamento ARP ecc. Se A accede a B su SSL, allora il traffico M intercetta è crittografato. In che modo M è in grado di sostituire HTTPS con HTTP, rimuovere le intestazioni HSTS e così via quando tutto ciò che deve lavorare è un flusso crittografato? Immagino che l'intero carico utile, incluso l'URL (che includerebbe il protocollo "https: //"), sia crittografato.
In altre parole, dov'è il punto di iniezione da cui è possibile rimuovere / manipolare i dati crittografati? Accade più in basso nello stack di rete? Sarebbe in grado di cambiare protocollo a livello di pacchetto?
Alcuni post parlano di cerali di acquisizione pacchetti ma I ' Non sono sicuro che esista un modo ben accettato per rimuovere SSL senza poter decifrare i dati.