Domande con tag 'man-in-the-middle'

domande con tag
2
risposte

Si può intercettare una connessione TLS correttamente implementata?

Supponendo una connessione TLS in cui sia il server che il client aderiscono perfettamente agli standard pertinenti. Un proxy HTTPS trasparente può intercettare la connessione TLS? (Supponendo che il certificato "mock CA" utilizzato dal pro...
posta 04.09.2015 - 00:02
2
risposte

Local AP - Outside Mitect Attack del router?

Diciamo che abbiamo il nostro computer all'interno della rete locale. La nostra rete locale è connessa a Internet tramite AP + Router che si collega al router in un'altra rete che è collegata all'ISP. Ora, vorrei sapere se c'è qualche possibilit...
posta 03.11.2014 - 00:36
1
risposta

Come impedire al browser di rendere il contenuto malevolo se la richiesta o la risposta sono violate?

Al momento stiamo lavorando su correzioni di sicurezza OWASP e abbiamo identificato uno scenario di attacco per il quale stiamo cercando di capire una possibile soluzione: L'utente raggiunge un HTTPRequest valido per la nostra applicazione....
posta 10.02.2015 - 12:08
3
risposte

cookie Flash e man-in-the-middle

Sto usando il framework web di Scala Play. In esso, c'è un cookie PLAY_FLASH utilizzato per inviare messaggi all'utente (è un cookie, quindi funzionerà anche dopo diversi reindirizzamenti). Metto HTML nel cookie in modo da poter includere col...
posta 15.08.2014 - 07:57
1
risposta

Una mancata corrispondenza del nome del sito del certificato quando si utilizza il software Toshiba preinstallato? (Superfish?)

Sul mio portatile Toshiba ci sono diversi programmi Toshiba preinstallati. Molti di loro sono una sorta di utility, ottimizzatore, controllo e aggiornamento di programmi che immagino siano comunemente chiamati bloatware. Uno di questi program...
posta 30.03.2015 - 14:31
3
risposte

Chiave pubblica nelle risorse per evitare l'uomo nell'attacco centrale

Sto sviluppando un'applicazione Android che deve comunicare con un server web. Invece di usare SSL comune, vorrei salvare la mia chiave pubblica personalizzata nelle cartelle delle risorse dell'applicazione (file di installazione APK), quindi pr...
posta 20.04.2015 - 11:05
1
risposta

La firma del codice con un timestamp non-ssl non è sicura?

Supponendo che lo strumento di firma del codice sia sicuro (ad es., non soffra di exploit di overflow del buffer e simili), c'è motivo di preoccuparsi se un servizio di timestamp non gira su SSL? Ovviamente, un attacco MITM potrebbe fare cose le...
posta 03.07.2014 - 20:57
1
risposta

Limitazioni di sicurezza dell'autenticazione del client TLS (dai browser)

Supponiamo che ci siano due server che eseguono TLS. Entrambi i server hanno certificati di punto finale validi. In altre parole, nessuno dei due avrebbe sollevato un avviso dai browser dopo che la connessione è stata stabilita. Esiste un mod...
posta 11.07.2015 - 10:52
1
risposta

Certs impedisce agli hacker di fingere di essere un server. Cosa impedisce loro di fingere di essere te?

Leggendo questa risposta sullo stackoverflow , comprendo che i certificati aiutano a identificare che una chiave pubblica e i dati crittografati sono effettivamente inviati da quello con cui stiamo parlando. Tuttavia, i dati che invio alla m...
posta 20.08.2018 - 18:29
2
risposte

SSL: come inviare un certificato client generato dal server per evitare MITM?

La domanda che ho è semplicemente come faccio a impedire un attacco MiTM su un certificato quando il lato server ne crea uno nuovo e tenta di inviarlo a un client? Il certificato viene crittografato da rsa e inviato o ...     
posta 08.04.2013 - 14:34