Ir para conteúdo
View in the app

A better way to browse. Learn more.

Portal do Host

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Featured Replies

Postado

Sem dúvida, a empresa me passa uma imagem mais profissional, demonstrando que toma cuidado com os dados que o clientes informam.

Até para você acessar o painel de administração sem medo em redes públicas não criptografadas.

Não tem como burlar o SSL, aonde você viu isso?

Lucas, tem sim,

Não só vi, como testei, usei, e tenho video aulas minhas ensinando esta, e outras técnicas de roubo de sessões, entre outros em rede local.

Com a técnica Arp Poisoning (Man in the Middle), nós direcionamos todo o tráfego da rede até nós,

Um software, que é um servidor Web rodando na sua máquina, "clona" o site no momento exato que o cliente tenta acessar, e passa a trocar dados direto com o PC da rede local, depois disso ele repassa as informações pro site legítimo, e assim consegue burlar o SSL do site Legitimo, e o cliente nem percebe (na maioria das vezes), já que ele consegue logar no site e tem todas as funcionalidades.

Com o Iptables, nós direcionamos todas as requisições com destino à porta 443, para a porta do servidor Web deste Software.

Ai voce diz, mas e o Cadeado de segurança? Como o navegador valida o certificado?

O Software direciona a conexão inicial de volta para o protocolo (http), e altera o código fonte de todas as páginas clonadas, onde tem https, ele troca para HTTP, nos links.

O site passa a funcionar sem SSL para o cliente, portanto, não acusa erro de certificado em nenhum navegador.


Postado

Estou montando meu case de serviços (começando com revenda e depois adicionando VPS), e esse fator já está dentro do meu planejamento.

Esse fórum é nota 10! Ou melhor nota 1000!


Postado

Hmm.. mas eu não considero isso como uma falha do SSL e sim da arquitetura ARP. O objetivo do SSL, de manter sigilo entre o servidor e cliente continua ok, o problema é que você está se passando pelo cliente por causa do ARP.

Este tipo de ataque só pode ocorrer se no caso o cliente e o atacante estiverem na mesma rede local certo?

Lucas, tem sim,

Não só vi, como testei, usei, e tenho video aulas minhas ensinando esta, e outras técnicas de roubo de sessões, entre outros em rede local.

Com a técnica Arp Poisoning (Man in the Middle), nós direcionamos todo o tráfego da rede até nós,

Um software, que é um servidor Web rodando na sua máquina, "clona" o site no momento exato que o cliente tenta acessar, e passa a trocar dados direto com o PC da rede local, depois disso ele repassa as informações pro site legítimo, e assim consegue burlar o SSL do site Legitimo, e o cliente nem percebe (na maioria das vezes), já que ele consegue logar no site e tem todas as funcionalidades.

Com o Iptables, nós direcionamos todas as requisições com destino à porta 443, para a porta do servidor Web deste Software.

Ai voce diz, mas e o Cadeado de segurança? Como o navegador valida o certificado?

O Software direciona a conexão inicial de volta para o protocolo (http), e altera o código fonte de todas as páginas clonadas, onde tem https, ele troca para HTTP, nos links.

O site passa a funcionar sem SSL para o cliente, portanto, não acusa erro de certificado em nenhum navegador.


Postado

Hmm.. mas eu não considero isso como uma falha do SSL e sim da arquitetura ARP. O objetivo do SSL, de manter sigilo entre o servidor e cliente continua ok, o problema é que você está se passando pelo cliente por causa do ARP.

Este tipo de ataque só pode ocorrer se no caso o cliente e o atacante estiverem na mesma rede local certo?

Isso mesmo, e na verdade a falha não é do ARP, é do Windows, que não da pra configurar entradas ARP estáticas.

No Linux isto é possivel, se fazer isto ele nao fica vulneravel a este tipo de ataque.


Postado

Po, legal, valeu aí pelas informações.


Postado

Thiago Sabaia, disse tudo, o SSL essencial mais não mim sinto seguro só por isso.


Postado

oxe... SSL usar ARP? Já vi tráfego ARP rolando apenas em switch's e IPs interno se comunicando =O. Mas concordo com a resposta do Thiago Sabaia, Se o SSL solucionasse todas as vulnerabilidades e todo mundo teria SSL =O


Postado

oxe... SSL usar ARP? Já vi tráfego ARP rolando apenas em switch's e IPs interno se comunicando =O. Mas concordo com a resposta do Thiago Sabaia, Se o SSL solucionasse todas as vulnerabilidades e todo mundo teria SSL =O

O SSL nao usa ARP, o ARP nao tem haver com o SSL.

o ARP é outra coisa, ARP é um protocolo para mapear Endereços IP e MAC.

Um ataque ARP comum, é fazer com que os computadores da rede acreditem que o IP de seu Gateway, possui o MAC do nosso computador, assim o tráfego todo passa por nós.


Postado

O SSL nao usa ARP, o ARP nao tem haver com o SSL.

o ARP é outra coisa, ARP é um protocolo para mapear Endereços IP e MAC.

Um ataque ARP comum, é fazer com que os computadores da rede acreditem que o IP de seu Gateway, possui o MAC do nosso computador, assim o tráfego todo passa por nós.

Ata, me cafundi :D, valeu :)


Postado

Creio que o uso de certificado é apenas um segurança para o cliente,mas isto não importa tão quanto administra a empresa.


Visitante
Este tópico está impedido de receber novos posts.

Quem Está Navegando 0

  • Nenhum usuário registrado visualizando esta página.

Informação Importante

Concorda com os nossos termos?

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.