Sem dúvida, a empresa me passa uma imagem mais profissional, demonstrando que toma cuidado com os dados que o clientes informam.

Até para você acessar o painel de administração sem medo em redes públicas não criptografadas.

Não tem como burlar o SSL, aonde você viu isso?

Lucas, tem sim,

Não só vi, como testei, usei, e tenho video aulas minhas ensinando esta, e outras técnicas de roubo de sessões, entre outros em rede local.

Com a técnica Arp Poisoning (Man in the Middle), nós direcionamos todo o tráfego da rede até nós,

Um software, que é um servidor Web rodando na sua máquina, "clona" o site no momento exato que o cliente tenta acessar, e passa a trocar dados direto com o PC da rede local, depois disso ele repassa as informações pro site legítimo, e assim consegue burlar o SSL do site Legitimo, e o cliente nem percebe (na maioria das vezes), já que ele consegue logar no site e tem todas as funcionalidades.

Com o Iptables, nós direcionamos todas as requisições com destino à porta 443, para a porta do servidor Web deste Software.

Ai voce diz, mas e o Cadeado de segurança? Como o navegador valida o certificado?

O Software direciona a conexão inicial de volta para o protocolo (http), e altera o código fonte de todas as páginas clonadas, onde tem https, ele troca para HTTP, nos links.

O site passa a funcionar sem SSL para o cliente, portanto, não acusa erro de certificado em nenhum navegador.

Estou montando meu case de serviços (começando com revenda e depois adicionando VPS), e esse fator já está dentro do meu planejamento.

Esse fórum é nota 10! Ou melhor nota 1000!

Hmm.. mas eu não considero isso como uma falha do SSL e sim da arquitetura ARP. O objetivo do SSL, de manter sigilo entre o servidor e cliente continua ok, o problema é que você está se passando pelo cliente por causa do ARP.

Este tipo de ataque só pode ocorrer se no caso o cliente e o atacante estiverem na mesma rede local certo?

Lucas, tem sim,

Não só vi, como testei, usei, e tenho video aulas minhas ensinando esta, e outras técnicas de roubo de sessões, entre outros em rede local.

Com a técnica Arp Poisoning (Man in the Middle), nós direcionamos todo o tráfego da rede até nós,

Um software, que é um servidor Web rodando na sua máquina, "clona" o site no momento exato que o cliente tenta acessar, e passa a trocar dados direto com o PC da rede local, depois disso ele repassa as informações pro site legítimo, e assim consegue burlar o SSL do site Legitimo, e o cliente nem percebe (na maioria das vezes), já que ele consegue logar no site e tem todas as funcionalidades.

Com o Iptables, nós direcionamos todas as requisições com destino à porta 443, para a porta do servidor Web deste Software.

Ai voce diz, mas e o Cadeado de segurança? Como o navegador valida o certificado?

O Software direciona a conexão inicial de volta para o protocolo (http), e altera o código fonte de todas as páginas clonadas, onde tem https, ele troca para HTTP, nos links.

O site passa a funcionar sem SSL para o cliente, portanto, não acusa erro de certificado em nenhum navegador.

Hmm.. mas eu não considero isso como uma falha do SSL e sim da arquitetura ARP. O objetivo do SSL, de manter sigilo entre o servidor e cliente continua ok, o problema é que você está se passando pelo cliente por causa do ARP.

Este tipo de ataque só pode ocorrer se no caso o cliente e o atacante estiverem na mesma rede local certo?

Isso mesmo, e na verdade a falha não é do ARP, é do Windows, que não da pra configurar entradas ARP estáticas.

No Linux isto é possivel, se fazer isto ele nao fica vulneravel a este tipo de ataque.

Po, legal, valeu aí pelas informações.

Thiago Sabaia, disse tudo, o SSL essencial mais não mim sinto seguro só por isso.

oxe... SSL usar ARP? Já vi tráfego ARP rolando apenas em switch's e IPs interno se comunicando =O. Mas concordo com a resposta do Thiago Sabaia, Se o SSL solucionasse todas as vulnerabilidades e todo mundo teria SSL =O

oxe... SSL usar ARP? Já vi tráfego ARP rolando apenas em switch's e IPs interno se comunicando =O. Mas concordo com a resposta do Thiago Sabaia, Se o SSL solucionasse todas as vulnerabilidades e todo mundo teria SSL =O

O SSL nao usa ARP, o ARP nao tem haver com o SSL.

o ARP é outra coisa, ARP é um protocolo para mapear Endereços IP e MAC.

Um ataque ARP comum, é fazer com que os computadores da rede acreditem que o IP de seu Gateway, possui o MAC do nosso computador, assim o tráfego todo passa por nós.

O SSL nao usa ARP, o ARP nao tem haver com o SSL.

o ARP é outra coisa, ARP é um protocolo para mapear Endereços IP e MAC.

Um ataque ARP comum, é fazer com que os computadores da rede acreditem que o IP de seu Gateway, possui o MAC do nosso computador, assim o tráfego todo passa por nós.

Ata, me cafundi :D, valeu :)

Creio que o uso de certificado é apenas um segurança para o cliente,mas isto não importa tão quanto administra a empresa.