Elkri escribió:segun decis, con esto te enviarian a otra pagina que no es la de tu banco ya que la Ip que resuelve no es la de tu banco, pero digo yo, los bancos y todo sitio que se aprecie que utilize informacion importante utiliza certificados SSL queva asociado a una determinada direccion e ip por lo que mediante eso podriamos saber si es seguro el sitio o no, verdad?
Vamos a ver, por ahora estamos especulando porque la vulnerabilidad aun no ha sido explicada, y en principio no deberia haber exploits para ella. Ahora bien, por el test que ha puesto Dan en su blog, y por las referencias que hacian a djbdns y a los birthday attacks, tiene pinta de ser un cache poisoning en toda regla. Que es un fallo estructural de DNS y hasta que se cambie la estructura de los paquetes y se pase a, al menos, 64 bits para puerto en lugar d elos 16 actuales, seguira siendolo. Lo que parece, y recalco parece porque aun no ha sido liberado, es que lo que se habia solucionado parcheando los birthday paradox, es de nuevo vulnerable de forma sencilla. Tal y como he leido por ahi, pasa de “known broken status" a “broken by your grandma status". Claro que todo esto son especulaciones, lo mismo solo han popularizado el cache poisoning
La seguridad en una conexion ssl no es porque el certificado traiga la direccion ip asociada (que alguien me corrija si me equivoco, pero creo que no la traen), sino por tener una autoridad certificadora que te firme el certificado y por ende, confies con el. Igual a ti no te engañan, pero joder, si la gente cae en el phising tradicional, via links, que es una cutrada como una catedral, imaginate si encima no llega a la pagina por pinchar en un enlace sino tras escribir la direccion web en la barra de direcciones del navegador. Caerian a puñados. Ademas de que aceptar un certificado tampoco es tan sospechoso, a la minima que te lo curres un poco...Salvo los usuarios experimentados en temas de seguridad, la mayoria seria engañada como chinos. La gente no sabe como funciona la seguridad en internet, ni tan siquiera muchos ingenieros informaticos entienden como funciona el cifrado asimetrico. Tu aceptas un certificado y a correr. Y eso en el mejor de los casos, en otros ni siquiera introduce un certificado y seguro que ni te enteras. ¿O tu miras el certificado del banco, gmail o lo que sea hagas por https cada vez que te conectas a la web? Porque yo, no...
![[sonrisa]](/images/smilies/nuevos/risa_ani1.gif "sonrisa")
