LINUX.ORG.RU

Re: Скрипт для сверки всех установленных ssl сертификатов.

Скрипт создает два файла в домашнем каталоге пользователя: my_ssl_certs.list и fingerprint.list

Эти файлы в теории должны быть одинаковы у всех пользователей сети Интернет во всем мире.

Расхождение определяем утелитой 'diff'.

В этом случае лучше меньше чем больше!

Расхождения возможны в следующих случаях:

1. Включение сертификатов фирм с пониженной социальной ответственностью: CAcert Inc. Я бы удалил..

2. Включение сертификатов социально безответственность фирм: Startcom, Wosign. Этих надо удалять!

3. ОДИН сертификат вашего антивирусника которому необходимо сделать MitM для сканирования на вирусы всего сетевого трафика включая HTTPS. Этот сертификат необходим, он должен создавался антивирусным ПО на вашем компе при настройке или на антивирусное шлюзе. Берегите секретный ключ этого сертификата!

4. Остальные это вирусные для MitM. Удалять!

anonymous ()
Ответ на: комментарий от anc

Да, год назад на опеннете показал как незаметно, просматривать полные URL при использовании протокола HTTPS и делать постраничный бан, а сегодня здесь не хочу этого делать.

anonymous ()
Ответ на: комментарий от vasya_pupkin

Надо тестить на моём злобном фильтрующем прокси. С https все фильтры замечательно работали БЕЗ РАСШИФРОВКИ и необходимости в корневом сертификате.

Ты так же как РКН целыми подсетями банишь ? :)

Я же предельно ясно написал - мой прокси умеет постраничную фильтрацию на основе полной URL всего http и https трафика, без расшифровки трафика, без внедрения левых корневых сертификатов клиентам и не заметно для клиентов!

anonymous ()
Ответ на: комментарий от anonymous

Да, год назад на опеннете показал как незаметно, просматривать полные URL при использовании протокола HTTPS и делать постраничный бан, а сегодня здесь не хочу этого делать.

«Вся рота не в ногу, один анон в ногу».
Жирный, жирный - поезд пассажирный.

anc ★★★★★ ()
Ответ на: комментарий от anonymous

Все могут посмотреть на какую страницу ты зашёл URL

Я прочитал весь RFC на самый широко используемый сейчас TLS 1.2. Нет там возможности смотреть URL страницы. TLS это протокол защиты потока, а не защиты HTTP. Он вообще не в курсе, что данные, которые внутри передаются это HTTP.

i-rinat ★★★★★ ()
Ответ на: комментарий от anonymous

TLS - Transport Layer Security. HTTP - это appliction level (в модели tcp/ip).

TLS — тоже application level. :-D

Было очень странно, если TLS знал, что там происходит в appliction level.

Тот аноним утверждал, что можно увидеть полный URL. Как это сделать, если не лезть внутрь HTTP? Пришли к противоречию, значит гипотеза была неверна. чтд.

i-rinat ★★★★★ ()
Ответ на: комментарий от anonymous

Я же предельно ясно написал - мой прокси умеет постраничную фильтрацию на основе полной URL всего http и https трафика, без расшифровки трафика, без внедрения левых корневых сертификатов клиентам и не заметно для клиентов!

С HTTP все понятно,а вот как https фильтруется постранично ты так нам и не сказал и видимо не скажешь...

vasya_pupkin ★★★★ ()
Последнее исправление: vasya_pupkin (всего исправлений: 1)
Ответ на: комментарий от i-rinat

TLS — тоже application level

Эх, не получилось выпендриться.

Тот аноним утверждал, что можно увидеть полный URL.

О такой «дыре» знали и использовали бы все кому не лень.

anonymous ()
Ответ на: комментарий от anonymous

О такой «дыре» знали и использовали бы все кому не лень.

Может дядя(другой анон) угнал машину времени, вспомнил про нeart bleed, и подумал что это было год назад? :)

anc ★★★★★ ()
Ответ на: комментарий от anc

Я написал, что можно узнать полный URL без полной расшифровки (внедрения корневого MitM сертификата клиенту) и сделать это не заметно для клиента!

Я даже могу содержимое страниц подсмотреть, но клиент это уже заметит.

Могу продать прокси который это делает уже сегодня! Но зачем он хорошим людям?

Продаю прокси с классическим MitM, полной расшифровкой, полной проверкой трафика на вирусы и фильтрацией. К стати этот прокси сделать сложнее чем просто фильтрацию по полной URL HTTPS трафика без полной расшифровки и внедрения корневого сертификата клиентам..

Вы очень наивны когда надеетесь что кто-то сделает для вас HTTPS без возможности подсмотреть;)

Товарищ майор может и поиск по https страничка делать: https://www.opennet.ru/tips/3110_squid_e2guardian_clamav_proxy_ssl_traffic.shtml

anonymous ()
Ответ на: комментарий от vasya_pupkin

Тебе, как пользователю необходимо знать что это возможно!

Могу продать проксю которая это делает, напиши для каких целей будешь ее использовать. Всем людям надо антивирусную проксю с полной расшифровкой.

anonymous ()
Ответ на: комментарий от anonymous

Там нет матмодели которая даёт гарантию! И этот факт можно использовать…

Там матмодель даёт гарантию возможности расшифровать. Сообщения подписываются тегами, поэтому можно просто перебирать ключи, пока не не найдём такой, который даёт правильный тег.

В мире куча людей, шарящих в криптографии. И только один аноним с ЛОРа знает секрет, который спрятан на виду у всех. Всё возможно, конечно, но маловероятно.

Ха-ха, маловероятно. Примерно как шанс подобрать 128-битные ключи.

i-rinat ★★★★★ ()
Последнее исправление: i-rinat (всего исправлений: 1)
Ответ на: комментарий от anonymous

Всем людям надо антивирусную проксю с полной расшифровкой.

Так делают же MitM на проксе. На ходу генерируется сертификаты для доменов, подписываются корневым, который устанавливается на компы пользователей.

i-rinat ★★★★★ ()
Ответ на: комментарий от i-rinat

В мире куча людей, шарящих в криптографии. И только один аноним с ЛОРа знает секрет, который спрятан на виду у всех. Всё возможно, конечно, но маловероятно.

То что https позволяет незаметно для клиента посмотреть полный URL, и сделать на этой фичи фильтрирующий прокси в мире знает кучу народа (без впаривания корневого сертификата клиенту и полной расшифровки). Рунет тоже в курсе моей сьатейки как это сделать. У меня есть готовый прокси который может это делать, кому надо может купить, если напишет здесь для чего... И только регистраты с ЛОРа не втеме.

anonymous ()
Ответ на: комментарий от i-rinat

Можно точно подсмотреть полную URL не заметно для клиента.

Мне кажется что можно подсмотреть содержимое страницы, но клиент об этом уже узнает, бровзер выдаст сообщение о потере ssl соединения.. В принципе 99% не парясь просто перегрузят страничку и ssl соединение восстановится.

Это все что желаю сегодня сообщить. Имейте в ввиду и используйте многослойное шифрование. Одного https сегодня уже давно мало.

anonymous ()
Ответ на: комментарий от i-rinat

Подсматривать авторизационную информацию не хорошо.

У меня есть прокся которая незаметно может посмотреть URL, все остальное кажется уже заметно - клиент увидит сообщение о разрыве ssl.

Проксю продаю.

Напиши здесь с какой целью оно тебе надо. Если цель хорошая, продам проксю.

anonymous ()
Ответ на: комментарий от anonymous

У меня есть прокся которая незаметно может посмотреть URL, все остальное кажется уже заметно

Cookie ничем не отличаются от URL. Так что тут кто-то «дёргает меня за ногу».

i-rinat ★★★★★ ()
Ответ на: комментарий от anonymous

Как зачем, дыру в спеках закрыть. У меня коллега — просто бог TLS, и в особенности TLS 1.3, он бы существованию этой дыры был рад больше всех подарков на дни рождения вместе взятых. Если бы она существовала, конечно. =P

t184256 ★★★★★ ()
Последнее исправление: t184256 (всего исправлений: 1)