[cfinformatica-grup] Re: certificats i seguretat moodle
- From: Enric Mieza <emieza@xxxxxxxx>
- To: "cfinformatica-grup@xxxxxxxxxxxxx" <cfinformatica-grup@xxxxxxxxxxxxx>
- Date: Thu, 13 Mar 2014 23:11:18 +0100
Alfonso, els alumnes de Manresa son espavilats i hackers, com els profes ;P
jeje...
Merci a tots per les aportacions, em sembla que ja em quedo més tranquil,
tot i que també faré lo del certificat.
Algú sap si la Generalitat dona alguna facilitat per certificats? Fóra una
bona cosa...
Salut,
Enric
2014-03-13 18:35 GMT+01:00 Javi Puit Juste <javipj@xxxxxxxxx>:
> Bones, és un atac relativament complicat (en la versió ipv6) però que no
> vulnera en cap moment la "seguretat" del protocol https.
>
> S'aprofita del desconeixement de la gent i et canvia una pàgina https per
> http, o fins i tot, manté la pàgina en https excepte els forms d'aquesta
> que els deixa en http.
>
> El MITM precisament és el que fa. Intercepta comunicacions que comencen
> amb http i que tenen els forms amb l'action en https i els canvia per http.
>
> Això és tipic de la pàgina de facebook.
>
> La versió millorada de l'atac, en ipv6, fins i tot permet que si la
> víctima carrega la pàgina amb https, aquesta passi a http.
>
> És una pràctica que agrada molt als alumnes. Avui precisament l'hem
> explicat i fet a classe.
>
> Amb tenir els ulls ben oberts i assegurar-nos que enviem les dades per
> HTTPS no hi ha cap tipus de problema.
>
> Però per si de cas, això ajudarà:
>
> Desactivar l'opció de moodle amb http. Però haureu de vigilar que no us
> suplantin el servidor ;) Però bueno, això també és fàcil de detectar.
>
> Desactivar ipv6 a windows i mac, que el prioritza sobre ipv4
>
> Hi ha un plugin a chrome que obliga a fet servir https a l'enviar dades,
> per si ens despistem: KB SSL ENFORCER.
>
> A internet trobareu milers de tutorials per fer l'atac. Amb ipv4 és una
> brometa d'un parell de minuts.
> Hola gent,
>
> tenim una preocupació al centre sobre la seguretat del moodle intern que
> tenim. Hi ha alumnes que saben fer DNS spoofing per aplicar-ho a un
> man-in-the-middle i així robar passwords, i algú ha comentat que també es
> pot fer sobre HTTPS, amb el perill que comporta que ens robin les
> contrasenyes als profes (més que res per les notes del moodle).
>
> A mi em semblava que trencar un HTTPS és difícil, tal i com diu aquí:
>
>
> http://stackoverflow.com/questions/14907581/ssl-and-man-in-the-middle-misunderstanding
>
> però hi ha gent que ens diu que es pot fer.
>
> Algú sap si això és possible?
>
> Merci,
>
> Enric
>
>
Other related posts:
