Texto plano. El atacante lee tus credenciales.
TLS Handshake + datos cifrados extremo a extremo.
Ataque de downgrade y cómo mitigarlo con HSTS.
Laboratorio interactivo 3D sobre comunicaciones HTTP y HTTPS.
🖱️ Arrastrar: rotar cámara · Rueda / pellizcar: zoom · Botón flotante o clic cerca de un nodo: información · Botón 🚩: flag.
HTTP envía todo en texto plano; cualquier nodo intermedio puede leerlo. HTTPS añade TLS: identidad verificada con certificados X.509 firmados por una CA y cifrado de la sesión con llaves negociadas en el handshake.
La flag aparece al completar el escenario HTTPS… mira el último payload cifrado. ✨
El SSL Stripping funciona porque la primera petición del cliente fue HTTP. Así se corta de raíz:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preloadSecure y HttpOnly.
Desciframos el canal seguro… solo porque tú tienes la llave de sesión. El atacante solo vio ruido criptográfico.