la semaine dernière à Black Hat DC, [Moxie Marlinspike] a présenté une nouvelle façon de détourner le détournement de SSL. Vous pouvez en lire à ce sujet dans cet article de Forbes, mais nous vous recommandons vivement de regarder la vidéo. SSLStrip peut réécrire tous les liens HTTPS comme http, mais cela va bien au-delà de cela. Utiliser des caractères Unicode qui semblent similaires à / et? Il peut construire des URL avec un certificat valide, puis rediriger l’utilisateur sur le site d’origine après avoir volé leurs informations d’identification. L’attaque peut être très difficile pour les utilisateurs même au-dessus de la moyenne de noter. Cette attaque nécessite un accès au réseau du client, mais [Moxie] l’a exécuté avec succès sur un nœud de sortie Tor.