Je hebt een klacht over de onderstaande posting:
Door majortom: Op die manier creeer je een tweezijdige authenticatie, waarbij alleen certificaten van een eigen verttrouwde CA worden geaccepteerd. Een MitM wordt dan toch wel lastig cq onmogelijk met de middelen die een gemiddelde (niet statelijke) actor tot zijn beschikking heeft (aangezien het nep-certificaat van de MitM server niet zal worden geaccepteerd door de app). Verder dicht te timmeren door niet een willekeurige URL van een server te vertrouwen maar enkel white-listed servers. Stap 3 uit mijn laatse reactie (https://security.nl/posting/855557) kan inderdaad ook worden geïmplementeerd gebruikmakend van TLS-ondersteuning voor clientcertificaten, en/of door de app server-certificate pinning te laten gebruiken. Echter, álle protocollen die ongewenste AitM's nagenoeg onmogelijk maken, stuiten in de praktijk op het (wellicht onderschatte) probleem dat dan ook "legitieme" AitM's onmogelijk zijn. Denk aan alles dat TLS, met toestemming, "openbreekt" en waarvoor je een speciaal rootcertificaat moet ...
Beschrijf je klacht (Optioneel):