[uylug-varios] "HTTPS Inspection" ¿es ético?

Gabriel Menini gabriel.menini at gmail.com
Tue May 1 05:28:12 PDT 2012


On 01/05/2012 07:12, Luis Pablo Pérez wrote:

> Primero lo primero: no se puede hacer un man-in-the-middle de una
> conexión HTTPS solo mirando el tráfico. Si se puede es porque hay un
> bug buscando una solución.
> Claro, por 'no se puede' aquí se entiende que es TAN difícil que es
> materialmente imposible.
>
> Los que estos buenos señores están haciendo es romper la cadena de
> confianza.... o obligarte a confiar en ellos. Como el trafico pasa por
> ellos lo que hacen es crear un certificado a partir del certificado
> original. Una vez que alguien esta como autoridad certificadora y ese
> alguien esta en el medio... es GAME OVER.
>

Eso es lo que no me gusta.

> Ej: es ético acceder a tu cuenta de e-Brou desde tu trabajo usando
> infraestructura (energía, ancho de banda, tu tiempo que esta siendo
> pago por tu empleador) ?

Touché! :-)

Ciertamente, uno tiene que ser objetivo y aplicar la misma regla para todo.

>       Ojo, no digo que no lo sea solo que la pregunta puede estar en la
> cabeza de alguna gente.

  Estoy de acuerdo contigo. O se aplican normas claras y prohibitivas 
(conocí una empresa que bloqueaba el acceso a internet a sus 
webdeveolpers, con excepción de doc.php.net !) o se establecen 
excepciones claras con conocimiento del usuario.

>
> Personalmente creo que esta solución muy peligrosa... EXTREMADAMENTE
> peligrosa: ese servicio esta creando certificados para acceder a todo
> sitio seguro de internet transformándolo en literalmente inseguro. Una
> empresa que actúe eticamente debería comunicar detalladamente en forma
> PERIÓDICA (1 vez por mes?) a todos los empleados de esto. En esa
> comunicación se debe explicar las razones y recomendaciones para
> evitar que información privada (ie: personal) corra el riesgo de
> terminar en manos no deseadas (desde otro empleado a alguien que toma
> el control del firewall).

¿Periodicamente? Me encanta lo de avisar antes, pero no sabía que con 
esa frecuencia era lo más sano :-)

-- 
Arle



More information about the Uylug-varios mailing list