-
@fuolpit En théorie. En pratique, je te laisse imaginer la merde possible avec des CDN, ou un domaine que tu ne contrôles pas sur un mutu…Permalink On twitter.com
Mood 0
-
@fuolpit En terme d’exploit, j’ai plein d’idées bien dégeulasse pour exploiter cette merde… Suffit « juste » d’avoir la même IP que toi […]Permalink On twitter.com
Mood 0
-
@fuolpit et un cert valide pour ton domaine, pour faire du phishing TLS avec tes visiteurs…Permalink On twitter.com
Mood 0
-
@fuolpit Avec les mutus ou les CDN, c’est juste la fête du slibard :D (Le même cert/IP que le domaine visé t’es même offert gratuitement)Permalink On twitter.com
Mood 0
-
@fuolpit Mais même si l’attaque n’était que théorique, ne plus être capable de savoir comment les connexions vont s’établir c’est un blem.Permalink On twitter.com
Mood +1 🙂
-
@fuolpit Parce que juste connaître ton fichier de conf ne suffira plus. Il faudra aussi connaître l’origine et la destination de la requête.Permalink On twitter.com
Mood 0
-
@fuolpit En théorie, t’as même un downgrade attaque gratos offert avec HTTP/2 […]On twitter.com
Mood 0
-
@fuolpit Suffit de trouver/créer un serveur « legit » avec même IP, cert valide pour lui et toi + suite faillible only. […]Permalink On twitter.com
Mood 0
-
@fuolpit Du coup un client va établir une co faible, et aller pécho tes données en réutilisant la co faible, alors que better dispo.Permalink On twitter.com
Mood +2 🙂