cambia de bar.
El mié, 15-12-2021 a las 12:31 +0000, fadelkon escribió: > Ayer en un bar por barcelona me pidieron el pasaporte covid. Usaban esto: > > https://verificacovid.gencat.cat > > Decodifica en el navegador el qr y muestra si es válido o no, el nombre y > apellidos, y la fecha de nacimiento. En la consola salen más datos, no sé si > todos los que están codificados en el qr > > La aplicación solo hace una petición extra para recargar un json con todos los > certificados de todos los países que imagino que han implementado el sistema. > > https://verificacovid.gencat.cat/eu_jwk_keys.json > > Está interesante. Funciona offline y solo carga recursos de un solo dominio, > sin tracking externo ni nada por el estilo. > > Respecto a vulnerabilidades... Me imagino alguien haciendo un dns spoofing en > la wifi de un bar para servir la misma web pero con el json modificado para > añadir un certificado propio con el que ha firmado un qr... Todo para tomarse > una caña xD > > Podría ser viable el spoofing pq no sirve la cabecera HSTS, y con un refresh > entero de la app... > > Conocéis otras aplicaciones? Qué os parece esta? > > Salut! > fdk > > _______________________________________________ > HackMeeting mailing list > [email protected] > https://listas.sindominio.net/mailman/listinfo/hackmeeting _______________________________________________ HackMeeting mailing list [email protected] https://listas.sindominio.net/mailman/listinfo/hackmeeting
