Abuse Melding

Je hebt een klacht over de onderstaande posting:

06-08-2024, 01:45 door Erik van Straten

Korte link naar deze reactie: https://security.nl/posting/852763. Door Anoniem: Twee reacties die vinden dat https niet nodig is, terwijl dat de aanvalsvector mogelijk heeft gemaakt. Lees je even in aub. Http is onveilig, omdat het AitM mogelijk maakt. Klopt. Sterker, https is, indien de server en de browser zich aan de regels houden, ijzersterk in het voorkómen dat een AitM zich in één E2EE https verbinding tussen browser en server weet te nestelen. De vraag is wel wat je daar aan hebt als er minstens drie situaties bestaan waardoor AitM's met twee of meer https verbindingen mogelijk zijn: • Onterecht uitgegeven DV-certificaten • Mensen incompatibel met domeinnamen • "Legitieme" AitM's Onterecht uitgegeven DV-certificaten Zie https://crt.sh/?id=13897808125&opt=ocsp voor het volgende voorbeeld: [browser] ^ | https verbinding #1 tussen | de browser en de AitM nepsite | | vertrouwd doch onterecht | uitgegeven certificaat voor | dydx.exchange (nepsite) ...

Beschrijf je klacht (Optioneel):

captcha