[Owasp-portuguese] Fwd: A mighty fortress is our PKI

Ricardo Mourato ricardomcm at gmail.com
Fri Jul 23 13:52:29 EDT 2010


Bruno, por acaso também vi essa apresentação a que te referiste, a
ferramenta em questão chama-se SSLStrip e de facto é impressionante a
quantidade de pessoas que se sentem seguram quando vêm um favicon igual a um
cadeado. Embora na minha opinião, o problema aqui não seja propriamente do
ssl, e sim do já bem batido arp spoof.

Entretanto esses mesmo senhores, fizeram outra apresentação, sobre como
explorar um bug no SSL (renegotiation), devido a uma directiva do genero
"X-IGNORE:" emitida pelos browsers, uma vez mais, é o browser que dá cabo do
esquema.. Se não viram o paper, aconselho a lerem, existe mesmo um ataque
feito ao twitter que tirou partido disso, é interessante.


Btw, obrigado ao Nuno pelo link do ForceHTTPS, já há uns tempos que andava á
procura de uma extensão do genero, até me passou pela cabeça desenvolvê-la,
mas afinal já existe :)

Cumprimentos.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-portuguese/attachments/20100723/f558f3ff/attachment.html 


More information about the Owasp-portuguese mailing list