aeris22’s avataraeris22’s Twitter Archive—№ 98,085

  1. …in reply to @Almisuifre
    @Almisuifre @TheophanyHD @CNIL @letsencrypt À partir du moment où tu as le port 80 d’ouvert, tu t’exposes à du SSLStrip ou équivalent.
    On twitter.com Twitter logo aeris22’s avatar ♻️ 1 Retweets ❤️ 2 Favorites Mood 0
    1. …in reply to @aeris22
      @Almisuifre @TheophanyHD @CNIL @letsencrypt Et la donnée part déjà *en clair* (request et pire, body & params, donc cookie de session…) avant d’avoir un redirect 302 et un passage en chiffré.
      Permalink On twitter.com Twitter logo aeris22’s avatar ♻️ 2 Retweets ❤️ 2 Favorites Mood 0
      1. …in reply to @aeris22
        @Almisuifre @TheophanyHD @CNIL @letsencrypt Au pif foo.example.org/login?user=bar&password=baz fuite déjà le login et le mot de passe en clair avant de se prendre une redirection vers foo.example.org/login?user=bar&password=baz
        Permalink On twitter.com Twitter logo aeris22’s avatar ♻️ 1 Retweets ❤️ 1 Favorite Mood 0
        1. …in reply to @aeris22
          @Almisuifre @TheophanyHD @CNIL @letsencrypt Pour la doc de sslstrip et ses petites sœurs : venafi.com/fr/blog/en-quoi-consistent-les-attaques-ssl-strip
          Permalink On twitter.com Twitter logo aeris22’s avatar ♻️ 1 Retweets ❤️ 1 Favorite Mood 0