#42#6#38 Se me ocurre que si contratas el servicio te instalen algún software con una CA de palo de Telefónica y a partir de ahí el campo es grande. El problema de HTTPS es que parte de la confianza plena en las CA instaladas (Tampoco es que conozca mejor manera de conseguir verificación de identidad del servidor, claro).
#85#78 No podrían, porque la mayoría de apps de móvil usan certificate pinning, no dependen de una CA.
Entre eso y HSTS me gustaría saber cómo piensan interceptar el tráfico, poder se puede, pero requiere modificar tantas cosas que es una animalada.
#99 Yo pienso que son pajas mentales y globo sonda de telefónica. Si la información 'personal' de un twit va encriptada en la trama que se envía como va a hacer telefónica para eliminarla sin destruir el Twit y por tanto el servicio. Quizas puedan bloquear las cokies, ofuscar la IP pero poco mas
#111 Las cookies también van cifradas en el payload del paquete, la IP como mucho la podrán bloquear.. yo también creo que es una paja metal, pero a saber.
#117 Claro, todo se puede desactivar, pero por eso digo que es una verdadera animalada, tendrían que modificar configuraciones en tu PC o móvil, sea instalando una app (un malware en toda regla) que haga esos ajustes, instale la CA, etc
Por cierto es curioso que buscando un par de enlaces para poner aquí sobre las dos técnicas de protección para evitar precisamente suplantación de CAs, intercepción por parte de intermediarios y demás me encuentre en el segundo resultado un paper de Eleven Paths/Telefónica, Chema & company. Me jodería enormemente que esta gente usara todo su talento y trabajo previo precisamente para lo contrario de lo que seguramente buscaban cuando hicieron ese estudio, pero bueno, money es money, nunca se sabe..
#59 A lo sumo verán peticiones a www. api. y static.facebook.com (o similar, me lo acabo de inventar).
Es muy difícil inferir algo de una petición de SSL
#89 Para lo cual tienes que instalar el certificado raíz
No es cierto que tengan acceso por pasar el tráfico por su Red sin más, como sugiere la noticia.
Te van a poner un Man-In-The-Middle por la cara??????
Entre eso y HSTS me gustaría saber cómo piensan interceptar el tráfico, poder se puede, pero requiere modificar tantas cosas que es una animalada.
HSTS aún no protege de instalarse una CA personalizada, sólo Chrome y para sitios de Google ¿No? Y seguro que hay un botón para desactivarlo.
En cuanto a las app, pues a saber, supongo que ahí están jodidos.
Tan solo quería señalar por qué HTTPS no es tan seguro como parece.
Yo creo que van de farol o es algo completamente distinto de lo que estamos entendiendo.
Por cierto es curioso que buscando un par de enlaces para poner aquí sobre las dos técnicas de protección para evitar precisamente suplantación de CAs, intercepción por parte de intermediarios y demás me encuentre en el segundo resultado un paper de Eleven Paths/Telefónica, Chema & company. Me jodería enormemente que esta gente usara todo su talento y trabajo previo precisamente para lo contrario de lo que seguramente buscaban cuando hicieron ese estudio, pero bueno, money es money, nunca se sabe..
www.slideshare.net/elevenpaths/paper-contramedidas-en-la-suplantacin-d
Y sabe quién es pepitoperez, dónde está, su DNI y su número de cuenta.
No "ve la foto", pero tampoco importa mucho.
Es muy difícil inferir algo de una petición de SSL
El ejemplo que pone es el clásico de por qué los metadatos son casi tan importantes (o incluso más, dependiendo del momento) que los propios datos.
No necesita distintas IP para cada usuario. Sabe distinguir a los usuarios de una misma IP por cosas como qué navegador y sistema operativo usa.
No es cierto que tengan acceso por pasar el tráfico por su Red sin más, como sugiere la noticia.