#138 A costa de un mayor consumo de RAM, aquí te lo explican un poco:
http://stackoverflow.com/questions/2137320/javascript-engines-advantages
Cada uno tiene sus pros y sus contras. Pero es mas facil decir cosas como "le quita el bocadillo" y quedarse tan pancho.
Me resulta curioso como os molesta el consumo de RAM unas veces y otras no, en función de como quedeis ante el resto de meneantes.
#215 Le quita el bocadillo. Una misma aplicación que consigue 60 cuadros por segundo en chromium va a 40 como mucho en firefox. Eso sin mencionar que Firefox es capaz de tumbar el sistema por consumo de memoria y el chromium no con tal facilidad. Ya me contarás dónde explica eso este artículo de 2010. Además si quieres comparar usos de memoria tendrá que ser sobre programas que produzcan los mismos resultados y no resultados tan distintos, ¿no?
#221 No estoy comparando el uso de memoria, digo que esa ganancia de potencia viene de ese mayor consumo de RAM. Te lo explican en el link, que al ser totalmente compilado, es posible (no siempre) que se necesite un mayor uso de ram. Te lo he puesto nada más que por eso, explica la diferencia entre los tipos de compilacion JIT y que pros y contras tiene cada tecnología en cuanto arquitectura / eficiencia. No digo que una sea peor que otra. Digo que una será mejor en unos casos y la otra será mejor para otros. Te lo explican en el link que te puse, y no lo critiques por la fecha, eso es una falacia. Si tienes algo que criticar del artículo, que sea del contenido, es lo único que evidenciará que el artículo citado está equivocado. Lo demás son falacias con animo de tumbar un argumento sin razonamientos tecnicos que sustenten la crítica.
#22 ¡Exacto! Entraba justo para decir que los de la NASA no han debido hacer flush en el baño de un avión. Yo creo que funcionaría incluso a distancia.
#138 Me retracto. Al parecer a través de las efivars, que tienen realidad en el firmware/BIOS. Afecta a implementaciones mal hechas, que según leo son la mayoría.
#66 Hay gente que monta los archivos UEFI para poder manipularlos cómodamente desde el sistema operativo (es innecesario) pero no veo cómo eso va a modificar la BIOS, que es donde está la "implementación UEFI de tu placa base". Que yo sepa tendrías que hacer un flash de la BIOS, lo que no se logra borrando los ficheros del UEFI, por ejemplo mediante rm -rf /
#25 Mención obligatoria (no te olvides de poner el where en el delete from):
#57 JAJAJA ¿De dónde has sacado eso?
#73: Es este envío: No te olvides de poner el where
Publicado hace 10 años por
jcferraz
a
youtube.com
Y aquí la explicación:
¿Por qué no debes olvidar el WHERE en el DELETE FROM?
Publicado hace 9 años por
mcfgdbbn3
a
w3schools.com
#57 Hasta he hecho imágenes de fractales relacionadas con esa canción. también la traduje al inglés cuando me di cuenta que nadie antes lo había hecho...
#57 Jajajaja me la has pisado, iba a ponerla ahora mismo
Pues a pesar de que me consta el prestigio de Phoronix, no me creo esta noticia. A ver, si borro los archivos de la UEFI sólo tengo arrancar de otro disco duro, en el peor de los casos previamente desconectando el que he borrado con mis manos de árbol. ¿Me equivoco?
#66 Hay gente que monta los archivos UEFI para poder manipularlos cómodamente desde el sistema operativo (es innecesario) pero no veo cómo eso va a modificar la BIOS, que es donde está la "implementación UEFI de tu placa base". Que yo sepa tendrías que hacer un flash de la BIOS, lo que no se logra borrando los ficheros del UEFI, por ejemplo mediante rm -rf /
#13 Si no es indiscreción, ¿qué opinas de los que menciona el artículo que se hablan a sí mismos? La pregunta es genuina, la hago porque me resulta sorprendente que no se acuerden de lo que le acaban de preguntar al otro o que no se den cuenta de que sean ellos mismos los que están pensando y articulando la respuesta "del otro".
#28 Hombre, está claro de que se trata de un estado psicótico bastante grave, yo nunca he llegado a tal nivel de disociación, aunque siempre me ha parecido curioso.
Recuerdo que, puesto de LSD o en situaciones extremas sí que he estado diciéndole cosas a mi reflejo, pero era un monólogo, no una conversación. A menudo me hablo también cuando estoy solo, dicen que es un signo de inteligencia, probablemente todos piensen que soy estúpido cuando empiezo a carcajearme con mis propias ocurrencias.
#77 La diferencia es nula para ambas preguntas. WPA2 se puede romper aunque sea difícil, pero si no lo rompes estamos igualmente en el punto de partida, ya que el artículo habla de que es el operador de la wifi el malintencionado. En bar de abajo también controla el wifi y es el que, según el artículo (con el que no estoy de acuerdo), tiene potencial de hacer el ataque.
#44 Resumiendo tu punto de vista, el SSL es inseguro. Pues yo pensaba que la CIA tenía mis datos porque se los daba Google y demás.
#49 Bueno, se los da google, facebook, el movil que tienes aunque este apagado (suena a pelicula pero es asi, lo han dicho gente que trabajaba para empresas de espionaje o el mismo snowden).
Es mas hay empresas que diseñan software que venden a gobiernos, preparado para interceptar comunicaciones de moviles, email, whatsApp... Lo que quieras.
el SSL es "seguro" a nivel general pero no esperes que por eso no vayan a saber los gobiernos que haces.
#38 Gracias por la info, lo miraré. Agrandezco también que esta vez no me hayas puesto negativo por el simple hecho de estar en desacuerdo conmigo.
Volviendo al asunto, me da la sensación de que hablas de agujeros de seguridad que aplican tanto si estoy en casa como si estoy con una wifi abierta.
También quiero que conste que no hablo de aplicaciones que envíen en plano. Si alguien usa whatsapp para hablar con el camello allá él, pero de nuevo es un problema igualmente si estás en casa.
#42 Una cosa son agujeros de seguridad que un atacante puede utilizar y otra ataques desde una wifi abierta como el man in the middle o sniffar el trafico de red.
En tu casa es mas dificil, pero tambien es posible que te hackeen.
Lo inseguro es en redes publicas, aunque sea una web protegida con contraseña no sabes quien mas hay en ella.
Una opcion es usar VPN en el movil como comentaba un usuario.
Si te digo la verdad pocas veces uso la wifi fuera, salvo cuando estoy en el extrajero y bueno, te expones a que vean tus datos, cierto.
Lo de la seguridad, los "candaditos", el SSL... Eso es una bobada. Realmente la CIA tienen agujeros de seguridad que utilizan, backdoors (puertas traseras) en todas las encriptaciones, pueden acceder a tu informacion con un golpe en el teclado si quieren. A todo sobre ti. Otra cosa es que para el usuario medio sea difil o imposible.
#49 Bueno, se los da google, facebook, el movil que tienes aunque este apagado (suena a pelicula pero es asi, lo han dicho gente que trabajaba para empresas de espionaje o el mismo snowden).
Es mas hay empresas que diseñan software que venden a gobiernos, preparado para interceptar comunicaciones de moviles, email, whatsApp... Lo que quieras.
el SSL es "seguro" a nivel general pero no esperes que por eso no vayan a saber los gobiernos que haces.
#27 Entiendo lo del MiM y, efectivamente, no me había planteado la posibilidad de que alguien previamente hiciera la página del BBVA de pega. Sin embargo, ¿una vez que está el candado no se verifica también eso, que la página sea la correcta?
#36 No se trata de un phising (pagina del bbva de pega como tu dices). Es que simplemente no te enteras de que hay una persona "en medio" "leyendo" todo. Lee bien el wiki.
Si quieres hasta tienes videos en youtube:
backtrack es una distribucion con las aplicaciones de hacking instaladas, de todo tipo.
Y ya no hablemos de la informacion que viaja no cifrada... esa se ve a simple vista con un sniffer (programa para auditar el trafico en una red).
#38 Gracias por la info, lo miraré. Agrandezco también que esta vez no me hayas puesto negativo por el simple hecho de estar en desacuerdo conmigo.
Volviendo al asunto, me da la sensación de que hablas de agujeros de seguridad que aplican tanto si estoy en casa como si estoy con una wifi abierta.
También quiero que conste que no hablo de aplicaciones que envíen en plano. Si alguien usa whatsapp para hablar con el camello allá él, pero de nuevo es un problema igualmente si estás en casa.
#42 Una cosa son agujeros de seguridad que un atacante puede utilizar y otra ataques desde una wifi abierta como el man in the middle o sniffar el trafico de red.
En tu casa es mas dificil, pero tambien es posible que te hackeen.
Lo inseguro es en redes publicas, aunque sea una web protegida con contraseña no sabes quien mas hay en ella.
Una opcion es usar VPN en el movil como comentaba un usuario.
Si te digo la verdad pocas veces uso la wifi fuera, salvo cuando estoy en el extrajero y bueno, te expones a que vean tus datos, cierto.
Lo de la seguridad, los "candaditos", el SSL... Eso es una bobada. Realmente la CIA tienen agujeros de seguridad que utilizan, backdoors (puertas traseras) en todas las encriptaciones, pueden acceder a tu informacion con un golpe en el teclado si quieren. A todo sobre ti. Otra cosa es que para el usuario medio sea difil o imposible.
#49 Bueno, se los da google, facebook, el movil que tienes aunque este apagado (suena a pelicula pero es asi, lo han dicho gente que trabajaba para empresas de espionaje o el mismo snowden).
Es mas hay empresas que diseñan software que venden a gobiernos, preparado para interceptar comunicaciones de moviles, email, whatsApp... Lo que quieras.
el SSL es "seguro" a nivel general pero no esperes que por eso no vayan a saber los gobiernos que haces.
#38 #36 Aunque haya un Man in the Middle la información en principio está a salvo si vas por HTTPS. HTTPS funciona con claves públicas y privadas. Esto quiere decir que A encripta sus mensajes con la clave pública de B (de forma que ese mensaje sólo se puede leer con la clave privada de B, que sólo posee B) y B responde encriptando la respuesta con la clave pública de A. En caso de que haya alguien en medio "leyendo" el tráfico lo único que va a leer son mensaje encriptados, y la única forma que tendría para leer de verdad la información es haciendo un phising (suplantación de identidad), en cuyo caso te saltaría una alerta ya que el certificado presentado por el man in the middle no sería auténtico.
Todo esto se cumple mientras no tengas algún malware en tu dispositivo que valide certificados falsos o cosas así. Vamos, que si tienes tu dispositivo limpio navegar por HTTPS es seguro. Otra cosa son las apps de los móviles, que a saber qué protocolo usa cada una para comunicarse con el servidor. Vamos, que los riesgos que hay de ver tu cuenta bancaria en una wifi abierta por HTTPS son prácticamente los mismos que desde el wifi de tu casa.
Aquí te lo explican en inglés: http://security.stackexchange.com/questions/8145/does-https-prevent-man-in-the-middle-attacks-by-proxy-server
#62 Creo que no te has enterado de nada. El man in the middle no es esnifar el trafico y ver que saco, es "suplantar".
Si miras un video en youtube mismamente veras como un usuario con un backtrack hace una prueba y es capaz de ver el password que de acceso a una web que el mismo intenta entrar.
Seria algo asi como:
-Se trata de que tu usuario A intentas acceder a la web xxx.com
-Yo hago de man in the middle y suplanto el metodo de login de la web, antes de que llegues al servidor, tomo tus datos y los dejo pasar al servidor.
-El servidor responde y yo cojo esa respuesta y la leo y te la paso a ti de vuelta usuario A.
Por cierto el enlace que me has pegado son preguntas y respuestas entre usuarios, eso no es una fuente asi muy fiable.
Lee:
https://es.wikipedia.org/wiki/Ataque_Man-in-the-middle#Ejemplo_de_un_ataque
#64 Lamento decirte que creo que eres tú el que no sabe cómo funciona HTTPS... En caso de que el man in the middle sea activo, es decir, que haga lo que tú has dicho en tu ejemplo, a ti en tu navegador te saldrá una alerta tocha diciendo que la página de login que te han servido no es xxx.com
Es decir, que eso que tú dices no se puede hacer en HTTPS. A menos que seas el típico usuario de "sí, aceptar, siguiente, siguiente, ok, nomeleonada, instalar". Pero en ese caso la culpa es del usuario que es un garrulo y que cuando le sale una advertencia de "ojo, que te están hackeando" le da a "ok" y hace caso omiso de la advertencia. Si tú te metes a xxx.com y te sale el candadito verde diciendo que ha pasado la validación entonces estás a salvo.
Y en caso de que el man in the middle sea pasivo (un man in the middle sí que puede limitarse a snifar el tráfico) no va a leer nada, ya que como he dicho antes va todo cifrado.
En tu enlace el ejemplo no es válido para HTTPS, dado que el certificado que presenta Mallory no pasaría la validación. Y el enlace que he pasado yo es el primero que me ha salido en google, puedes mirar otros enlaces si quieres.
#65 Perdona pero si eso fuese asi no hablariamos de ataques man in the middle. No tengo ganas pero estoy seguro de que tu mismo en casa puedes probar a hacerlo contigo mismo y el backtrack.
Ni el usuario ni el servidor se enterarian de que la clave es incorrecta y que no esta firmada por la web xxx.com
#66 Esos ataques son para HTTP. No voy a hacerlo en mi casa porque sé cómo funciona HTTPS y un ataque man in the middle, así que sé cuál va a ser el resultado (de hecho, trabajo precisamente en ese campo: PKI - Public Key Infrastructure). Pero si no te fías de mi (que lo puedo entender y no me parece mal) aquí tienes un enlace a wikipedia que te lo dice claramente: https://es.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure#Diferencias_con_HTTP
"HTTP es inseguro y está sujeto a ataques man-in-the-middle y eavesdropping que pueden permitir al atacante obtener acceso a cuentas de un sitio web e información confidencial. HTTPS está diseñado para resistir esos ataques y ser más seguro."
#38 En cualquier caso de MitM siempre tendrás aviso del navegador o la aplicación de que el certificado no es válido. Cierto es que se pueden generar certificados falsos firmados por CA's de confianza, pero eso esta muy lejos del alcance de la inmensa mayoría de aprendices de hackers que puedas cruzarte en esa wifi abierta, y queda reservado para ataques de verdad en las que se ha comprometido alguna CA... y esas balas no se usan para robarte a ti la cuenta del facebook...
Otra cosa es que el navegador o aplicación te de la alerta de certificado falso y el usuario medio le de a aceptar sin más preocupación... pero ese mismo ataque se puede hacer igualmente en cualquier wifi con password compartida (WPA). Que tenga password no te protege de nada, solo de que no te puedan snifar "por el aire" sin necesidad de MitM para cosas sin cifrar.... y hoy en día todo servicio online decente va por SSL...
Menos paranoia... (y si, se muy bien de que va esto)
#78 "y hoy en día todo servicio online decente va por SSL"
Pago de impuestos:
http://www.zamoratributos.es/oficinavirtual/tramitacion/gestiontributaria/domicOpA.aspx
Compañía eléctrica:
http://clientes.fenieenergia.es/
Compañía telefónica:
http://yuuju.es/login
Esto son casos que me parecen graves porque aparte del nº de cuenta bancaria contienen información especialmente privada como los teléfonos a los que llamas o tu consumo eléctrico, que en algunos casos puede aparecer el consumo hora a hora.
¿Hola? ¿SSL? ¿candadito? ¿no es un poco sensacionalista (e incorrecto) el artículo? Lo digo porque cuando estás con el banco la conexión va encriptada de punto a punto. Un cracker no puede ver, ni en una wifi abierta, lo que le dices al banco. ¿Y el correo? ¿no va por TSL/SSL o no sé qué leches? También es seguro, ¿no?
#22 #29 Bueno no es tan facil... Una wifi abierta hasta que te autenticas pueden snifar el trafico, hay ciertas aplicaciones que no usan encriptacion, que se puede romper o pueden hacer que tu movil "se crea" (algo asi como man in the middle) que se esta autenticando con un servidor y saque todo.
https://es.wikipedia.org/wiki/Ataque_Man-in-the-middle
Hay ciertas situaciones donde es bastante simple, por ejemplo, un atacante dentro del alcance de un punto de acceso wi-fi sin cifrar, donde éste se puede insertar como man-in-the-middle
Creo que aparte del ataque que te comento se te escapa que esos protocolos que te han dicho que son seguros no lo son tanto teniendo en cuenta la de agujeros de seguridad que hay en navegadores, sistema operativo del movil....
#36 No se trata de un phising (pagina del bbva de pega como tu dices). Es que simplemente no te enteras de que hay una persona "en medio" "leyendo" todo. Lee bien el wiki.
Si quieres hasta tienes videos en youtube:
backtrack es una distribucion con las aplicaciones de hacking instaladas, de todo tipo.
Y ya no hablemos de la informacion que viaja no cifrada... esa se ve a simple vista con un sniffer (programa para auditar el trafico en una red).
#38 Gracias por la info, lo miraré. Agrandezco también que esta vez no me hayas puesto negativo por el simple hecho de estar en desacuerdo conmigo.
Volviendo al asunto, me da la sensación de que hablas de agujeros de seguridad que aplican tanto si estoy en casa como si estoy con una wifi abierta.
También quiero que conste que no hablo de aplicaciones que envíen en plano. Si alguien usa whatsapp para hablar con el camello allá él, pero de nuevo es un problema igualmente si estás en casa.
#42 Una cosa son agujeros de seguridad que un atacante puede utilizar y otra ataques desde una wifi abierta como el man in the middle o sniffar el trafico de red.
En tu casa es mas dificil, pero tambien es posible que te hackeen.
Lo inseguro es en redes publicas, aunque sea una web protegida con contraseña no sabes quien mas hay en ella.
Una opcion es usar VPN en el movil como comentaba un usuario.
Si te digo la verdad pocas veces uso la wifi fuera, salvo cuando estoy en el extrajero y bueno, te expones a que vean tus datos, cierto.
Lo de la seguridad, los "candaditos", el SSL... Eso es una bobada. Realmente la CIA tienen agujeros de seguridad que utilizan, backdoors (puertas traseras) en todas las encriptaciones, pueden acceder a tu informacion con un golpe en el teclado si quieren. A todo sobre ti. Otra cosa es que para el usuario medio sea difil o imposible.
#38 #36 Aunque haya un Man in the Middle la información en principio está a salvo si vas por HTTPS. HTTPS funciona con claves públicas y privadas. Esto quiere decir que A encripta sus mensajes con la clave pública de B (de forma que ese mensaje sólo se puede leer con la clave privada de B, que sólo posee B) y B responde encriptando la respuesta con la clave pública de A. En caso de que haya alguien en medio "leyendo" el tráfico lo único que va a leer son mensaje encriptados, y la única forma que tendría para leer de verdad la información es haciendo un phising (suplantación de identidad), en cuyo caso te saltaría una alerta ya que el certificado presentado por el man in the middle no sería auténtico.
Todo esto se cumple mientras no tengas algún malware en tu dispositivo que valide certificados falsos o cosas así. Vamos, que si tienes tu dispositivo limpio navegar por HTTPS es seguro. Otra cosa son las apps de los móviles, que a saber qué protocolo usa cada una para comunicarse con el servidor. Vamos, que los riesgos que hay de ver tu cuenta bancaria en una wifi abierta por HTTPS son prácticamente los mismos que desde el wifi de tu casa.
Aquí te lo explican en inglés: http://security.stackexchange.com/questions/8145/does-https-prevent-man-in-the-middle-attacks-by-proxy-server
#62 Creo que no te has enterado de nada. El man in the middle no es esnifar el trafico y ver que saco, es "suplantar".
Si miras un video en youtube mismamente veras como un usuario con un backtrack hace una prueba y es capaz de ver el password que de acceso a una web que el mismo intenta entrar.
Seria algo asi como:
-Se trata de que tu usuario A intentas acceder a la web xxx.com
-Yo hago de man in the middle y suplanto el metodo de login de la web, antes de que llegues al servidor, tomo tus datos y los dejo pasar al servidor.
-El servidor responde y yo cojo esa respuesta y la leo y te la paso a ti de vuelta usuario A.
Por cierto el enlace que me has pegado son preguntas y respuestas entre usuarios, eso no es una fuente asi muy fiable.
Lee:
https://es.wikipedia.org/wiki/Ataque_Man-in-the-middle#Ejemplo_de_un_ataque
#64 Lamento decirte que creo que eres tú el que no sabe cómo funciona HTTPS... En caso de que el man in the middle sea activo, es decir, que haga lo que tú has dicho en tu ejemplo, a ti en tu navegador te saldrá una alerta tocha diciendo que la página de login que te han servido no es xxx.com
Es decir, que eso que tú dices no se puede hacer en HTTPS. A menos que seas el típico usuario de "sí, aceptar, siguiente, siguiente, ok, nomeleonada, instalar". Pero en ese caso la culpa es del usuario que es un garrulo y que cuando le sale una advertencia de "ojo, que te están hackeando" le da a "ok" y hace caso omiso de la advertencia. Si tú te metes a xxx.com y te sale el candadito verde diciendo que ha pasado la validación entonces estás a salvo.
Y en caso de que el man in the middle sea pasivo (un man in the middle sí que puede limitarse a snifar el tráfico) no va a leer nada, ya que como he dicho antes va todo cifrado.
En tu enlace el ejemplo no es válido para HTTPS, dado que el certificado que presenta Mallory no pasaría la validación. Y el enlace que he pasado yo es el primero que me ha salido en google, puedes mirar otros enlaces si quieres.
#65 Perdona pero si eso fuese asi no hablariamos de ataques man in the middle. No tengo ganas pero estoy seguro de que tu mismo en casa puedes probar a hacerlo contigo mismo y el backtrack.
Ni el usuario ni el servidor se enterarian de que la clave es incorrecta y que no esta firmada por la web xxx.com
#38 En cualquier caso de MitM siempre tendrás aviso del navegador o la aplicación de que el certificado no es válido. Cierto es que se pueden generar certificados falsos firmados por CA's de confianza, pero eso esta muy lejos del alcance de la inmensa mayoría de aprendices de hackers que puedas cruzarte en esa wifi abierta, y queda reservado para ataques de verdad en las que se ha comprometido alguna CA... y esas balas no se usan para robarte a ti la cuenta del facebook...
Otra cosa es que el navegador o aplicación te de la alerta de certificado falso y el usuario medio le de a aceptar sin más preocupación... pero ese mismo ataque se puede hacer igualmente en cualquier wifi con password compartida (WPA). Que tenga password no te protege de nada, solo de que no te puedan snifar "por el aire" sin necesidad de MitM para cosas sin cifrar.... y hoy en día todo servicio online decente va por SSL...
Menos paranoia... (y si, se muy bien de que va esto)
#78 "y hoy en día todo servicio online decente va por SSL"
Pago de impuestos:
http://www.zamoratributos.es/oficinavirtual/tramitacion/gestiontributaria/domicOpA.aspx
Compañía eléctrica:
http://clientes.fenieenergia.es/
Compañía telefónica:
http://yuuju.es/login
Esto son casos que me parecen graves porque aparte del nº de cuenta bancaria contienen información especialmente privada como los teléfonos a los que llamas o tu consumo eléctrico, que en algunos casos puede aparecer el consumo hora a hora.
#27 Creo que aquí si tocas un punto interesante e inseguro, más allá de los sensacionalismos del artículo.
Recuerdo haber visto el juego del man-in-the-middle p.ej con ataques tipo "Evil Twin" para robarle wifis a los vecinos; imitas a su punto de acceso, le desautenticas del verdadero, y cuando se conecta al tuyo le muestras una página indicándole lo mal que va la conexión y que meta la clave de su router para entrar a Internet. Y supongo que si a la página le metes un logo de la compañía por la que va tu vecino, mejor.
Claro, tiene sentido hacer lo mismo pero interceptando ciertas páginas, como pudiera ser las de bancos, aunque me parece más complicado sobre todo para lo que plantea el artículo de que vayas a cazar gente que está en el extranjero (¿y cómo sabes cuál es su banco y el idioma de la víctima?). Supongo que funcionaría mejor simular el login a redes sociales y luego fallar aposta mientras te has quedado la clave, aunque por otro lado no tengo nada claro que la gente acceda a su FB o Twitter en el smartphone a través del navegador, sino más bien a través de la App específica. Que imagino que se la podrá engañar también, pero a primera vista tiene pinta de necesitar un esfuerzo más serio.
#55 Lo que no entendéis es cómo funciona el protocolo de autentificacion de https, se usan dos pares de llaves, el servidor cifra su conexión con la llave privada y esa comunicación sólo puede leerse con la llave pública, el ordenador "víctima" cifra el mensaje con la llave pública y lo envía al servidor, a partir de ahí NADIE puede descifrar ese mensaje sin la llave privada (que sólo está en el servidor del banco). Por lo tanto, por man in the middle NO SE PUEDE esnifar el trafico https, lo cual no quiere decir que si te ponen una página "parecida sospechosamente" a la original te puedan hacer introducir tus credenciales si no te fijas en el candadito que valida la entidad certificadora de turno.
Vamos, que o se hace por phishing o no se hace. El protocolo https "en principio" fue diseñado para resistir esos ataques y es seguro.
#70 Lo que planteaba en ese mensaje es más bien phishing que un "man in the middle" real, interceptando su conexión. Es obvio que no se podría autenticar en destino, igual que lo del "evil twin" no intermedia con nadie real.
#22 Y el cliente de whatsapp, el de twitter, incluso las búsquedas en el google van ahora por SSL.
Yo no tengo ningún cuidado en redes abiertas NI FALTA QUE ME HACE.
Artículo sensacionalista, mal informado y desinformador como pocos.
#22 eso venía yo a decir, el artículo es un tantico sensacionalista cuando se alarma por cosas como "acceder a su banco por una WiFi abierta". No conozco yo banco que no use SSL en su acceso web, ahí lo preocupante me parece más bien troyanos/keyloggers/etc y para eso el problema de la seguridad es más lo que ejecutas en el Windous que a qué WiFi te conectas.
Vería más problemático que p.ej siga uno esa costumbre de usar la misma password para todo y que en uno de los sitios por los que navegaras fuera en plano, dando pie a que te abran el resto. De nuevo, ahí lo primero que lo previene es, no utilices la misma clave para todo, o al menos separa lo importante.
#35 bueno, con un Man in the middle, dns spoof y phishing de la pagina del banco ya lo tienes. Esto sí, necesitas haber estudiado un poco la victima de antemano y no se hace rápido en una red publica mientras te zampas un bigmac...
#22 SSLStrip lleva años por ahí y te garantizo que bajo las condiciones adecuadas, funciona.
El resultado es capturar el 100% del tráfico como si no fuera por SSL (todo legible).
#63 Sslstrip coge el trafico https y lo convierte en http, lo que hace saltar todas las alarmas, y en tráfico mixto https/http como mínimo el navegador mostraría un aviso.
#71 correcto, menos en Iexplorer que no aparece ningún aviso por lo menos en versiones 8 o inferiores las otras no he probado. Tambien te digo que la mayoría de usuarios le dan a confiar igualmente y te envían todas las credenciales por http. Easy
#79 Claro. En principio las versiones actuales de Firefox y Chrome no permiten el tráfico mixto por defecto, aparte de otros avisos, protocolos inseguros desactivados o con warning, CA inseguras desactivadas.
Tener el navegador actualizado es importante, y con la extensión HTTPS Everywhere con reglas para que en los dominios de bancos etc no se permita HTTP mejor que mejor.
El artículo está redactado de tal forma que parece que el chaval tenga la culpa.
#25 No lo creo, quizás lo único que podría ir en esa dirección es la pregunta final, pero creo que por lo menos es relevante. Antes de eso, se comenta lo que dice la policía pero es que es lo obvio, que se pongan en contacto con ellos primero. La policía obviamente, y menos ante un caso así, te va a recomendar a ir a pelearte por recuperarlo ni enfrentarte a unos ladrones.
#15 --paja-- ni idea de qué piensan los gatos --paja--
#74 Sólo nos falta comer y cagar bits.
No tiene desperdicio el correo del "Jimmy Dos Veces" este.
Patético el mensaje de vender a toda costa o viene el coco. El coco.
#57 Gracias. Me estaba dando a mí en la nariz que esto era el periodista de turno haciéndose el guay. "Mira, mamá, hoy he usado la palabra crowdfunding en mi noticia".
Comprar, tirar, comprar.
#90 Esto.
Esto y además que el V8 del Chromium le quita el bocadillo en el recreo al SpiderMonkey del Firefox. Siempre me ha caído mejor Firefox (y más después de esta noticia) pero el otro es más potente.