[uylug-varios] "HTTPS Inspection" ¿es ético?

Carlos Martinez carlosmarcelomartinez at gmail.com
Tue May 1 14:09:39 PDT 2012 

Eduardo, lo hacen, y lo hacen rutinariamente. Por suerte no tengo como "demostrarlo", ya que no estoy allí. 

Lo de DigiNotar no fue puntual, fue una maniobra calculada y ejecutada, y fue de la que nos enteramos.

No fue mi intención comparar empresas con países, aunque me preocupa de ti comentario de que si son países te parece mas aceptable que si si son empresas. 

Éticamente es igual, al menos así lo veo yo. 

Carlos

Sent  a mobile device

On May 1, 2012, at 5:40 PM, etrapani <etrapani at unesco.org.uy> wrote:

>>>> Esto se hace en Irán y en China rutinariamente.
>>> 
>>> No entiendo.  Para hacerlo necesitás tener una CA local y además confiar en ella.  A nivel intranet puede ser, pero a nivel país ... ¿estás seguro de que eso lo que están implementando?
>>> 
>>> Suena a confusión ... (con todas las otras chanchadas que sí hacen, como rapto de DNS, en EEUU también, filtrado de HTTP, ajuste de tráfico, ...)
> 
>> Lo hicieron con los root certificates que robaron de DigiNotar. Y
> 
> Ta, esa es una instancia *puntual*.  No le veo lo *rutinario*.  Y tu ejemplo me habla de algo a nivel país, no a nivel de empresas.  Obviamente a nivel empresas va a ser más y más frecuente de nuestro lado del planeta también si el software mencionado se vuelve más popular.
> 
>> hacen MITM regularmente o directamente filtran el ssl.
> 
> Decís que lo hacen "regularmente".  Sencillamente no te lo puedo creer, pero estoy abierto a demostración (no con un caso puntual, de repente sí con tres o cuatro).  Sugerir que alguien puede hacer eso regularmente a escala país es medio exagerado, por decirlo con cuidado, a mi modo de ver.  Exagerado porque hace que TLS sea un chiste.
> 
> Filtrar TLS, eso es harina de otro costal, suponiendo que querés decir "bloquear TLS".  Eso no tiene nada que ver con HTTPS inspection ni con MITM, que era el tópico.
> 
> Eduardo.
> 
> PD: por si no queda claro, "salto" porque ese pequeño adjetivo "rutinario" es para mí gratuitamente sensacionalista (acepto pruebas y ofrezco retractación si llega a ser necesario) y le da a los países mencionados algún tipo de "superpoderes" (que concuerdan con lo "supervillanos" que son en términos de internet) que les permite *regularmente* hacer MITM sobre *la* manera de acceder la web de modo seguro.  Me resisto a aceptar eso sin evidencia, a aceptar que TLS sea tan frágil como para embaucar países enteros, rutinariamente.
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy

More information about the Uylug-varios mailing list