<br><br>Bruno, por acaso também vi essa apresentação a que te referiste, a ferramenta em questão chama-se SSLStrip e de facto é impressionante a quantidade de pessoas que se sentem seguram quando vêm um favicon igual a um cadeado. Embora na minha opinião, o problema aqui não seja propriamente do ssl, e sim do já bem batido arp spoof.<br>

<br>Entretanto esses mesmo senhores, fizeram outra apresentação, sobre como explorar um bug no SSL (renegotiation), devido a uma directiva do genero &quot;X-IGNORE:&quot; emitida pelos browsers, uma vez mais, é o browser que dá cabo do esquema.. Se não viram o paper, aconselho a lerem, existe mesmo um ataque feito ao twitter que tirou partido disso, é interessante.<br>

<br><br>Btw, obrigado ao Nuno pelo link do ForceHTTPS, já há uns tempos que andava á procura de uma extensão do genero, até me passou pela cabeça desenvolvê-la, mas afinal já existe :)<br><br>Cumprimentos.<br>