Domande con tag 'man-in-the-middle'

domande con tag
2
risposte

Perché Overflow dello stack non utilizza HTTPS per tutte le sue pagine?

La maggior parte delle pagine Web da Stack Overflow utilizza http anche se hai effettuato l'accesso. Non è un problema di sicurezza? Potrebbe un intercettatore rubare la mia sessione e il cookie di autenticazione impersonare me dato che è...
posta 09.09.2014 - 19:24
4
risposte

Può o dovrebbe la whitelisting sostituire la crittografia?

Ho notato che esiste un servizio web di terze parti che utilizziamo programmaticamente al mio lavoro per trasmettere informazioni un po 'sensibili e sono rimasto sorpreso nel vedere che l'endpoint utilizzava solo http, anziché https. A seguito d...
posta 14.04.2016 - 15:42
4
risposte

Perché un hacker non può ottenere solo un nuovo certificato SSL per il tuo sito web?

SSL ha lo scopo di proteggere il tuo sito web da un attacco man-in-the-middle. Ma se qualcuno è in grado di farlo, non potrebbe semplicemente richiedere un nuovo certificato da una CA e quindi modificare il traffico inviato dalla CA al server...
posta 19.12.2016 - 22:53
2
risposte

In che modo questo "captive portal" intercetta e manipola le mie richieste HTTP?

A volte uso un servizio Wifi gratuito per accedere a Internet. Come la maggior parte / tutti i fornitori di servizi come questo, questo servizio utilizza un captive portal . Quindi se provi a fare una richiesta HTTP (richiedi una pagina web) n...
posta 08.08.2016 - 05:51
3
risposte

Per un'applicazione Web HTTPS, vale la pena crittografare la password prima di inviarla, per impedire a un aggressore MITM di sfruttarlo?

La nostra applicazione ha recentemente superato test di penetrazione. Il test ha rilevato una violazione della sicurezza critica , che è essenzialmente: Il problema: L'attaccante imposta uno spot WiFi. L'utente entra nel nostro sito (c...
posta 31.08.2014 - 10:47
3
risposte

Bypassing HTTP to HTTPS memorizzato nella cache 301 reindirizza per utilizzare SSLstrip

Sto facendo una penna. prova su un server HTTPS (443) su cui non è implementata l'HSTS (nessun header HSTS sulla risposta e l'indirizzo non è presente nell'elenco precaricato di Chrome HSTS). Il problema è che nel mio scenario l'utente ha vis...
posta 23.12.2015 - 19:38
7
risposte

Perché i browser consentono le CA radice personalizzate?

Al mio lavoro tutti i browser hanno installato una CA radice personalizzata, che consente loro di curiosare su tutto il traffico https mentre gli utenti hanno la falsa impressione di sfogliare una pagina https sicura. Perché i browser consent...
posta 26.07.2018 - 16:24
4
risposte

Come può un'applicazione Web proteggere gli utenti quando il browser non supporta l'HSTS?

HTTP Strict Transport Security (HSTS) è una funzionalità molto utile per evitare OWASP a9 violazioni e attacchi come SSLStrip che provano e impediscono al client di stabilire una connessione sicura. Questa tecnologia tuttavia non è nelle ve...
posta 06.11.2012 - 17:22
5
risposte

Cosa impedisce a un uomo nel mezzo di richiedere un certificato per il tuo server?

Supponiamo che tu abbia un server in shop.example.com e stai richiedendo un certificato da qualche CA di fiducia come Comodo (dicono che lo pubblicheranno entro pochi minuti online). Prima di tutto, come possono assicurarsi di essere d...
posta 24.07.2015 - 15:39
2
risposte

Rischi specifici di incorporare un iframe HTTPS in una pagina HTTP

Ho bisogno di aiuto per elencare i rischi specifici di incorporare un iframe HTTPS che abilita il pagamento con carta di credito all'interno di una pagina HTTP. Ci sono problemi di sicurezza con l'incorporamento di un iframe HTTPS su una pagina...
posta 02.07.2013 - 20:34