EDICIóN GENERAL

El juez cita como investigado al denunciante del agujero de seguridad en la 'app' de Metrovalencia

#20 son paradigmas diferentes, en el caso de una web el cliente se conecta con un navegador genérico al servicio. Hacer un MitM de SSL a un navegador hoy en día también está más complicado, si no tiene la CA te va a soltar error y ya si el usuario se lo salta se lo merece.

Las apps son clientes que hace un dev para un servicio, por lo que puede hacer pinning y evitar cualquier otro certificado dando igual que sean de una CA reconocida incluso. Aquí entran problemas como que al actualizar el cert tienen que actualizar la aplicación o reutilizar la misma clave pública y tal.

Las cosas han ido cambiando poco a poco. No digo que sea infalible frente a investigadores o personas mal intencionadas ya que teniendo el control de donde se ejecuta ya está, pero al menos el usuario está más seguro que antes frente ataques externos si tiene media neurona.

menéame