Ciao,
buona idea quella di fare una simulazione ... perche' in un prossimo incontro del lug non facciamo?
Il 20/07/08, Chris Mairchris@1006.org ha scritto:
Tu cosa mi riesci a confermare?
Niente di questo...
Prova tu stesso: prendi due server https con certificati riconosciuti dal tuo browser, determina il loro IP (dig), poi nel /etc/hosts metti una riga tipo
ip_del_server_a nome_del_server_b
chiudi e apri il browser e collegati a
verrai salutato da un bel popup, poliziotto giallo ;) o cosa mai...
Un proxy https che cercasse di fare man in the middle triggerebbe lo stesso sintomo.
Ovviamente un proxy e` libero di farci tunnellare il traffico tra client e server ma non potra influenzarlo o leggerlo.
Il weakest link di tutto questo secondo me sono le CA - non metterei la mano nel fuoco che uno non riesca a farsi firmare un certificato per un dominio non suo *in* *qualche* *caso* *isolato*.
Cmq, il tuo "evil hotel owner" dovrebbe riuscire a farsi firmare certificati per gmail.com, hotmail.com, gmx.de, ... per poter leggere le mail dei suoi clienti: non e` esattamente un operazione facile, ovvero il seguente dialogo e` alquanto imaginario:
Thawte: Thawte, Buon Giorno.
Hotel owner: Buon giorno. Sono Eve L. Hotelowner. Senta: avrei bisogno di farmi firmare questi certificati qui, associati a gmail.com, hotmail.com e gmx.de.
Thawte: nessun problema, mandi pure i certificati. Paga con carta di credito?
Bye :) Chris.