[uylug-varios] "HTTPS Inspection" ¿es ético?
Gabriel Menini
gabriel.menini at gmail.com
Tue May 1 05:28:12 PDT 2012
On 01/05/2012 07:12, Luis Pablo Pérez wrote:
> Primero lo primero: no se puede hacer un man-in-the-middle de una
> conexión HTTPS solo mirando el tráfico. Si se puede es porque hay un
> bug buscando una solución.
> Claro, por 'no se puede' aquí se entiende que es TAN difícil que es
> materialmente imposible.
>
> Los que estos buenos señores están haciendo es romper la cadena de
> confianza.... o obligarte a confiar en ellos. Como el trafico pasa por
> ellos lo que hacen es crear un certificado a partir del certificado
> original. Una vez que alguien esta como autoridad certificadora y ese
> alguien esta en el medio... es GAME OVER.
>
Eso es lo que no me gusta.
> Ej: es ético acceder a tu cuenta de e-Brou desde tu trabajo usando
> infraestructura (energía, ancho de banda, tu tiempo que esta siendo
> pago por tu empleador) ?
Touché! :-)
Ciertamente, uno tiene que ser objetivo y aplicar la misma regla para todo.
> Ojo, no digo que no lo sea solo que la pregunta puede estar en la
> cabeza de alguna gente.
Estoy de acuerdo contigo. O se aplican normas claras y prohibitivas
(conocí una empresa que bloqueaba el acceso a internet a sus
webdeveolpers, con excepción de doc.php.net !) o se establecen
excepciones claras con conocimiento del usuario.
>
> Personalmente creo que esta solución muy peligrosa... EXTREMADAMENTE
> peligrosa: ese servicio esta creando certificados para acceder a todo
> sitio seguro de internet transformándolo en literalmente inseguro. Una
> empresa que actúe eticamente debería comunicar detalladamente en forma
> PERIÓDICA (1 vez por mes?) a todos los empleados de esto. En esa
> comunicación se debe explicar las razones y recomendaciones para
> evitar que información privada (ie: personal) corra el riesgo de
> terminar en manos no deseadas (desde otro empleado a alguien que toma
> el control del firewall).
¿Periodicamente? Me encanta lo de avisar antes, pero no sabía que con
esa frecuencia era lo más sano :-)
--
Arle
More information about the Uylug-varios
mailing list