View Single Post
Sitat av Dyret Vis innlegg
For å komme seg rundt pinning så trenger man ikke gå så langt. Appen kan rekompileres med et nytt sertifikat eller patches til å ikke utføre sjekken.
Vis hele sitatet...
Jeg snakker om å utføre MiTM angrep. Appen sjekker vel at sertifikatet fra serveren er signert av en gyldig CA? Og motsatt, at serveren sjekker at klient sertifikatet er signert av gyldig CA?

Hvis TS setter opp et MiTM angrep på skolen, der han stripper bort TLS krypteringen, leser av dataen, re-krypterer og signerer dataen med hans hjemmesnekrede TLS sertifikat, så vil vel appen avvise sertifikatet. Da hans hjemmesnekrede sertifikat ikke er signert av Jodel's CA?

Jeg tviler på at TS klarer å overbevise elever ved skolen om å installere hans hjemme kompilerte app, der sertifikatene er byttet ut.