Alfonso, els alumnes de Manresa son espavilats i hackers, com els profes ;P jeje... Merci a tots per les aportacions, em sembla que ja em quedo més tranquil, tot i que també faré lo del certificat. Algú sap si la Generalitat dona alguna facilitat per certificats? Fóra una bona cosa... Salut, Enric 2014-03-13 18:35 GMT+01:00 Javi Puit Juste <javipj@xxxxxxxxx>: > Bones, és un atac relativament complicat (en la versió ipv6) però que no > vulnera en cap moment la "seguretat" del protocol https. > > S'aprofita del desconeixement de la gent i et canvia una pàgina https per > http, o fins i tot, manté la pàgina en https excepte els forms d'aquesta > que els deixa en http. > > El MITM precisament és el que fa. Intercepta comunicacions que comencen > amb http i que tenen els forms amb l'action en https i els canvia per http. > > Això és tipic de la pàgina de facebook. > > La versió millorada de l'atac, en ipv6, fins i tot permet que si la > víctima carrega la pàgina amb https, aquesta passi a http. > > És una pràctica que agrada molt als alumnes. Avui precisament l'hem > explicat i fet a classe. > > Amb tenir els ulls ben oberts i assegurar-nos que enviem les dades per > HTTPS no hi ha cap tipus de problema. > > Però per si de cas, això ajudarà: > > Desactivar l'opció de moodle amb http. Però haureu de vigilar que no us > suplantin el servidor ;) Però bueno, això també és fàcil de detectar. > > Desactivar ipv6 a windows i mac, que el prioritza sobre ipv4 > > Hi ha un plugin a chrome que obliga a fet servir https a l'enviar dades, > per si ens despistem: KB SSL ENFORCER. > > A internet trobareu milers de tutorials per fer l'atac. Amb ipv4 és una > brometa d'un parell de minuts. > Hola gent, > > tenim una preocupació al centre sobre la seguretat del moodle intern que > tenim. Hi ha alumnes que saben fer DNS spoofing per aplicar-ho a un > man-in-the-middle i així robar passwords, i algú ha comentat que també es > pot fer sobre HTTPS, amb el perill que comporta que ens robin les > contrasenyes als profes (més que res per les notes del moodle). > > A mi em semblava que trencar un HTTPS és difícil, tal i com diu aquí: > > > http://stackoverflow.com/questions/14907581/ssl-and-man-in-the-middle-misunderstanding > > però hi ha gent que ens diu que es pot fer. > > Algú sap si això és possible? > > Merci, > > Enric > >