Título: Seguridad HTTPS Publicado por: Agata33 en 2 Enero 2018, 12:51 pm Hola:
Estoy creando una aplicación para móvil de notificación de incidencias, donde se puede enviar avisos de desperfectos en el mobiliario urbano indicando la dirección donde se encuentra el desperfecto y también se puede enviar una foto. Si atacan mi aplicación superando los mecanismos de cifrado que proporciona HTTPS, podrían modificar las propiedades de la incidencia, por ejemplo, cambiando la localización de la incidencia, o podrían llegar a crear una o varias nuevas incidencias. Por otra parte, si usara JWT (JSON Web Token), ¿me solucionaría algún problema? Gracias Título: Re: Seguridad HTTPS Publicado por: engel lex en 2 Enero 2018, 16:20 pm si atacan y te rompen HTTPS estás en un problema muy grave... en este caso la seguridad de tu servidor para nada sirve ya y tus usuarios están en riesgo...
por otro lado Citar Si atacan mi aplicación superando los mecanismos de cifrado que proporciona HTTPS, podrían modificar las propiedades de la incidencia, por ejemplo, cambiando la localización de la incidencia, o podrían llegar a crear una o varias nuevas incidencias. esto lo pueden hacer sin necesidad de alterar el https, solo tienen que abrir tu petición en el navegador o un sistema personalizado... cambiar la localización de la incidencia es facil con un sistema de "falsificación de ubicacion gps", son programas que le dicen al telefono que leer en lugar del gps Citar Por otra parte, si usara JWT (JSON Web Token), ¿me solucionaría algún problema? nope, violados los mecanismos anteriores no hay forma de validar, se llaman "ataques de confianza" Título: Re: Seguridad HTTPS Publicado por: HardC0d3 en 3 Enero 2018, 23:49 pm Pregunto desde la ignorancia:
1º Citar engel lex: ¿Se puede romper un certificado SSL? y ¿Cómo evitas que "rompan el HTTPS" o el certificado?Si atacan y te rompen HTTPS estás en un problema muy grave... Sé que se puede "trampear" pero ¿El estandar HSTS no protege contra SSLstrip y demás ataques? 2º Citar Agata33: ¿Cómo se protegen las webs y aplicaciones contra esto?... podrían modificar las propiedades de la incidencia. engel lex: Esto lo pueden hacer sin necesidad de alterar el https, solo tienen que abrir tu petición en el navegador o un sistema personalizado. Gracias. Título: Re: Seguridad HTTPS Publicado por: engel lex en 4 Enero 2018, 01:10 am Citar ¿Se puede romper un certificado SSL? y ¿Cómo evitas que "rompan el HTTPS" o el certificado? a la primera, basicamente no, no se puede actualmente a menos que use un metodo de cifrado inseguro... sin embargo un atacante podría ponerse en el medio y usar su cifrado, aunque hsts te protege de eso, no es infalible a la segunda, instalas un certificado fijo, así no hay cifrado intermedio que valga ya que el cifrado tiene que coincidir con la firma digital... Citar ¿Cómo se protegen las webs y aplicaciones contra esto? no te puedes proteger contra que el usuario mande datos alterados, por esto se llama "ataque de confianza", es como detectar que quien introduce la contraseña no es el humano que la creó... |