A l@s que buscan (desde años) un script que permite anular la “barrera” del https en los ataques Rogue AP (no me refiero al tu técnica WPS PBC)
Es un tema que interesa a mucha gente. Cada un@ por motivos propios y no tod@s por amor al arte.
Las paredes tienen oídos aquí…
¡Vaya putada!
No me sorprende… Let’s encrypt es gratis, de los buenos, no es una cosa hecha para que luego pagues un servicio, no tienen servicio de pago.
Así que ha atraído a muchos webmaster que no tienen pasta para poner en un dominio y unos certificados de pago.
Espero que encuentras algo… Miraré de mí lado, a ver si veo algo
Quisas buscan mal tambien, en poco tiempo he encontrado algunas buenas pistas.
Al peor tomaré ovh por 2 euros el ano, y no pienso tener problemo de limitation con ellos, let’s encrypt parace muy bueno y si hay una limitacion en los domain gratis se puede ser que muchos lo usan como phishing o cosas asi… o sea quisas han puesto esta limitacion por seguridad para usarios que quieren jobar informaciones sencillas.
Pueden tomar la idéa me da igual, sabes como mi que para que todo anda hay que hacer une trabajo importante de configuracion… y ademas haran un viejo rogue AP abierto que hace mas suspicion que la ostia
no crear que a veces no hay que dar pista cuando se esta haciendo un proyeto competivo, a mi me ha robado muchas idea cuando trato de decir alguna mejora de mi proyeto y termina plagiandola. en si mismo a mi no me molesta es como si los demas quisieran estan por delante de tu propio programa a nivel de competivida quisa entres otros programador que quieran lucise ante que uno mismo.
creo recorda que hay alguna pagina que dan dominio .com gratis aunque no caigo ahora la direccion web de echo era algo que a mi tambien me interesaba dominio gratis en oferta a cambios de escribir alguno articulos en su foro.
mirare haber y te digo aunque hacer ya dos años que no es mirado ese tema de dominio free
Bueno, despuès de 72 horas de esperada tengo mi domain en freenom, he podido traer un certificado tambien.
Ahora me queda probadas a hacer con sergio proxy y sslstrip en local.
Al peor usar el modo repetor del tp-link que tengo connectado a un red abierta con bridge-utils para forward eso usando iptable y solamente dejar una conexion que se hace la verificacion del certificado ssl que no da error
Me gusta el https ahora me estoy dando cuenta de el peligroso que puede ser el phishing… en la mayoridad de los sitios web ahora se pide cuando quieres hacer una registration el facebook o el gmail, un poco de javascript para hacer la pentalla de login y poniendo eso en el domain en https y hasta pero bueno la gente que hace eso tiene que estar un poco tontos porque no tienen los corones de venir ver te enfrente y de hablar del problemo que tiene
Una cosa que es seguro es que si un dia hago my sitio web tomaré let’s encrypt, facil de usar y seguro porque es https
Cuando hemos lanzado wifi-libre no existía let’s encrypt entonces no lo hemos empleado y se ha pilado un servicio de pago
En sus inicios había que “aceptar” los certificados let’s encrypt o crear une excepción de seguridad ya que los navegadores no lo reconocían cómo seguro-valido.
Ahora va de fabula, igual que un certificado de pago.
En Kali.fr de nuestro amigo coyotus es lo que han utilizado para pasar el foro de http a https.
Puedes comprobar con kali.fr que todo va bien desde cualquier navegador: Los certificados let’s encrypt están muy bien aceptados y reconocidos.
Cifrado para tod@s… ¡Me quito el sombrero!
He probado todo la noche a jugar con sergio-proxy y el http/https.
He passado el hsts error, el cert name error y lo mejor que puedo tener es un “time out”… pero todo no esta perdido porque he encontrado cosas interessante tambien, tengo que probar mas todavia porque sergio proxy se puede usar con metasploit tambien, cosa que no he hecho.
Tengo une buena noticia en todo eso es que se puede hacer una redirection muy rapida desde un dd-wrt connectando a un red abierto, google se abre solo (si si…) y por ejemplo si tienes 3 pagina en https de la ultima conexion que has hecho, viene une pagina que te poner directamente en falso sitio https sin error o sea si se abre google con una pagina en https no se hara bien la redirection y se acaba con un timeout pero sin pedir nada al usario se abre la falsa pagina a lado que queremos que ve, y sabes porque? porque es la falta de microsoft otra vez han hecho una buena tonteria aqui con windows 10 :lol:
Esa technica anda si tienes un dominio en internet con un https valido y si tienes un conexion a un red (por ejemplo de un red abierto como he hecho) para que se verifica el certificado ssl PERO pienso que se puede andar tambien sin el https y sin internet porque la falsa pagina que se abre esta en http de origen (es mi que uso el https para que sea un poco mas artistico).
yo llevo usando let’s encrypt desde que se hizo publico me funcionaba bien sin dar ningun excepción de seguridad, pero desde que reinstaler el servidor y a volver a usar let’s encrypt hora me dar excepción de seguridad en el navegador y claro eso asusta a los usuario que no tiene ni idea de esto de https,
de momento me veo en usar los dos htpp y https.
es posible que culpable sea que tengo varnishd y nginx corriendo en el servidor ya que tengo nginx como proxy inverso y a varnishd como cache y algo se me escapa que de problema con let’s encrypt de hay la excepción de seguridad en el navegador aunque htpps funiona bien es posible que el problema este en nginx
[quote]Esa technica anda si tienes un dominio en internet con un https valido y si tienes un conexion a un red (por ejemplo de un red abierto como he hecho) para que se verifica el certificado ssl PERO pienso que se puede andar tambien sin el https y sin internet porque la falsa pagina que se abre esta en http de origen (es mi que uso el https para que sea un poco mas artistico).
Usando software libre se puede hacer muchas cosas big_smile[/quote]
¡Vaya paso adelante!
Me quito el sombrero
@ Betis
El creador de varnish dice que el tema SSL es muy delicado… Wny no ssl?
El problema no viene de Nginx: Es capaz de manejar el http"secure"
La verdad es que no sé cuando voy a terminar ese script porqué cada vez que me digo bueno lo tienes es cuando me viene idéas para probar cosas, me gusta el tema de https sergio-proxy.Y como es un script de rogue AP quiero hacer las cosas bien y que esta completo
eso es los que pasa siempre kaola cuando esta motivado y ver los logro y progreso de tu trabajo te va llegando mas idea y asi no termina nunca
[quote=kcdtv]
@ Betis
El creador de varnish dice que el tema SSL es muy delicado… Wny no ssl?
El problema no viene de Nginx: Es capaz de manejar el http"secure"[/quote]
si sabia el problema que tiene varnish con los https por ese motivo le puse el nginx como proxy inverso, que soluionaba el poblema de varnish, me es dado uenta que realmente https esta funionando bien si se entra por https://inforprograma.net no sale ninguna excepción de seguridad, sin enbargo si trato de entra com https://www.inforprograma.net si sale la excepción de seguridad en el navegador es evidente que let’s encrypt solo me ha pillado el dominio sin www y a mi me interesa tener los dos como los tenia antes. ya mirare o reinstalare los certifiado para ver si me pilla tambien con www
es un fallo level, pero creo que los puedo solucciona en los virtualhost, ya que veo que solo incresa la configuracion en el fichero hosts-ssl.conf pero no en los de apache aunque con nginx si los pilla pero en los virtualhost de apache nada
el problema estaba en que tenia que ejecutar dos veces es script de let’s encrypt ya que con el parametro -d solo te pillaba uno pero no los dos
por los que tuver que ejeutarlo dos veces por cada dominio uno sin www y otros con www
