Domande con tag 'man-in-the-middle'

domande con tag
1
risposta

Il server può rilevare quando un client ha disabilitato il blocco dei certificati?

Molte applicazioni mobili impongono il blocco dei certificati per rendere difficile un attacco man-in-the-middle. Tuttavia, con un dispositivo jailbroken / rooted, è possibile disabilitare il pinning del certificato sul client. Ad esempio, utili...
posta 17.05.2016 - 19:05
2
risposte

Un certificato autofirmato offre più protezione di una chiave pubblica?

Ho difficoltà a trovare i benefici pratici della trasmissione di un certificato autofirmato semplicemente tramite una chiave pubblica. Comprendo che un certificato autofirmato dimostra la integrità della chiave pubblica e dell'ID utente (ossia...
posta 25.09.2014 - 17:07
2
risposte

Come viene eseguito questo attacco MITM e quali misure posso prendere contro di esso?

Oggi, quando ho provato ad accedere a Internet (google su HTTPS), il mio browser (Google Chrome) mi ha dato il seguente errore: Sono sulla mia casa Wi-Fi, che ha WEP. Quando ho provato a ricaricare google su un normale HTTP, sono stato re...
posta 19.01.2015 - 01:40
3
risposte

Cosa mi impedisce di usare l'avvelenamento ARP per forzare un client a usare HTTP?

Quindi stavo solo pensando a come l'avvelenamento ARP può essere usato per intercettare una richiesta di client, forgiare un certificato SSL e inviarlo indietro, con l'avvertenza di non incontrare la convalida del certificato, ma cosa succedereb...
posta 17.04.2014 - 21:05
3
risposte

MITM: strumenti per intercettare e modificare il traffico?

Voglio eseguire un attacco MITM per modificare il traffico, in modo da poter rimuovere / modificare le cose nella richiesta. Ad esempio: Quando ricevo una richiesta sulla porta 25, voglio essere in grado di intercettare tutte le richieste, m...
posta 27.06.2012 - 22:09
2
risposte

Come proteggere l'endpoint API dall'abuso nell'app mobile?

Supponiamo di avere un'app mobile che recupera il feed delle notizie da un URL sul mio server. GET/ https://example.com/api/v1/newsfeed C'è un modo per limitare l'accesso a questo endpoint solo dall'app mobile, non altre fonti come uno scri...
posta 02.12.2018 - 16:01
2
risposte

Ricevo una javax.net.ssl.SSLHandshakeException ma il mio collega no, cosa potrebbe significare?

Quando provo a inviare una email su smtp con SSL nel codice Java ottengo la seguente eccezione: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested...
posta 26.02.2018 - 07:26
3
risposte

Suscettibilità dei file di archivio crittografati 7z agli attacchi man in the middle

Data: Un file (assumendo 1 GB di dimensione) viene crittografato insieme ai nomi dei file utilizzando 7zip in un archivio 7z utilizzando AES-256 Il file viene caricato su un servizio di archiviazione cloud come quelli offerti da Google,...
posta 24.02.2018 - 00:20
1
risposta

Devo consentire le fonti di script http nel mio CSP o applicare solo https?

Attualmente sto cercando di implementare un widget di terze parti nel mio sito web. Quel widget tenta di caricare alcuni script su http, che al momento non è consentito dalla mia politica di sicurezza del contenuto. Sono preoccupato che l'imp...
posta 30.11.2017 - 22:40
1
risposta

Autenticazione della chiave pubblica garantita oltre all'incontro fisico e (possibilmente non affidabile) Root CA

Vorrei chiedere se fosse possibile in qualche modo trasferire una chiave pubblica e garantirla senza dover fisicamente incontrare e verificare che la persona che ho incontrato sia chi dice di essere e senza dover fare affidamento su una terza pa...
posta 13.09.2016 - 14:39