Почему корневые сертификаты спасают от MITM атаки?

Скрипт создает два файла в домашнем каталоге пользователя: my_ssl_certs.list и fingerprint.list

Эти файлы в теории должны быть одинаковы у всех пользователей сети Интернет во всем мире.

Расхождение определяем утелитой 'diff'.

В этом случае лучше меньше чем больше!

Расхождения возможны в следующих случаях:

1. Включение сертификатов фирм с пониженной социальной ответственностью: CAcert Inc. Я бы удалил..

2. Включение сертификатов социально безответственность фирм: Startcom, Wosign. Этих надо удалять!

3. ОДИН сертификат вашего антивирусника которому необходимо сделать MitM для сканирования на вирусы всего сетевого трафика включая HTTPS. Этот сертификат необходим, он должен создавался антивирусным ПО на вашем компе при настройке или на антивирусное шлюзе. Берегите секретный ключ этого сертификата!

4. Остальные это вирусные для MitM. Удалять!

Да, год назад на опеннете показал как незаметно, просматривать полные URL при использовании протокола HTTPS и делать постраничный бан, а сегодня здесь не хочу этого делать.

Надо тестить на моём злобном фильтрующем прокси. С https все фильтры замечательно работали БЕЗ РАСШИФРОВКИ и необходимости в корневом сертификате.

Ты так же как РКН целыми подсетями банишь ? :)

Я же предельно ясно написал - мой прокси умеет постраничную фильтрацию на основе полной URL всего http и https трафика, без расшифровки трафика, без внедрения левых корневых сертификатов клиентам и не заметно для клиентов!

Вам, всем пользователям сети Интернет, надо просто сверить свои списки корневых сертификатов:

https://www.opennet.ru/openforum/vsluhforumID10/5494.html

и выкинуть левые!

Да, год назад на опеннете показал как незаметно, просматривать полные URL при использовании протокола HTTPS и делать постраничный бан, а сегодня здесь не хочу этого делать.

«Вся рота не в ногу, один анон в ногу».
Жирный, жирный - поезд пассажирный.

Все могут посмотреть на какую страницу ты зашёл URL

Я прочитал весь RFC на самый широко используемый сейчас TLS 1.2. Нет там возможности смотреть URL страницы. TLS это протокол защиты потока, а не защиты HTTP. Он вообще не в курсе, что данные, которые внутри передаются это HTTP.

TLS - Transport Layer Security. HTTP - это appliction level (в модели tcp/ip). Было очень странно, если TLS знал, что там происходит в appliction level.

TLS - Transport Layer Security. HTTP - это appliction level (в модели tcp/ip).

TLS — тоже application level. :-D

Было очень странно, если TLS знал, что там происходит в appliction level.

Тот аноним утверждал, что можно увидеть полный URL. Как это сделать, если не лезть внутрь HTTP? Пришли к противоречию, значит гипотеза была неверна. чтд.

Я же предельно ясно написал - мой прокси умеет постраничную фильтрацию на основе полной URL всего http и https трафика, без расшифровки трафика, без внедрения левых корневых сертификатов клиентам и не заметно для клиентов!

С HTTP все понятно,а вот как https фильтруется постранично ты так нам и не сказал и видимо не скажешь...

TLS — тоже application level

Эх, не получилось выпендриться.

Тот аноним утверждал, что можно увидеть полный URL.

О такой «дыре» знали и использовали бы все кому не лень.

О такой «дыре» знали и использовали бы все кому не лень.

Может дядя(другой анон) угнал машину времени, вспомнил про нeart bleed, и подумал что это было год назад? :)

Я написал, что можно узнать полный URL без полной расшифровки (внедрения корневого MitM сертификата клиенту) и сделать это не заметно для клиента!

Я даже могу содержимое страниц подсмотреть, но клиент это уже заметит.

Могу продать прокси который это делает уже сегодня! Но зачем он хорошим людям?

Продаю прокси с классическим MitM, полной расшифровкой, полной проверкой трафика на вирусы и фильтрацией. К стати этот прокси сделать сложнее чем просто фильтрацию по полной URL HTTPS трафика без полной расшифровки и внедрения корневого сертификата клиентам..

Вы очень наивны когда надеетесь что кто-то сделает для вас HTTPS без возможности подсмотреть;)

Товарищ майор может и поиск по https страничка делать: https://www.opennet.ru/tips/3110_squid_e2guardian_clamav_proxy_ssl_traffic.shtml

Там нет матмодели которая даёт гарантию! И этот факт можно использовать...

Смотри пост анонима выше.

Тебе, как пользователю необходимо знать что это возможно!

Могу продать проксю которая это делает, напиши для каких целей будешь ее использовать. Всем людям надо антивирусную проксю с полной расшифровкой.

Там нет матмодели которая даёт гарантию! И этот факт можно использовать…

Там матмодель даёт гарантию возможности расшифровать. Сообщения подписываются тегами, поэтому можно просто перебирать ключи, пока не не найдём такой, который даёт правильный тег.

В мире куча людей, шарящих в криптографии. И только один аноним с ЛОРа знает секрет, который спрятан на виду у всех. Всё возможно, конечно, но маловероятно.

Ха-ха, маловероятно. Примерно как шанс подобрать 128-битные ключи.

Всем людям надо антивирусную проксю с полной расшифровкой.

Так делают же MitM на проксе. На ходу генерируется сертификаты для доменов, подписываются корневым, который устанавливается на компы пользователей.

Продолжайте. Мы вас внимательно слушаем.

В мире куча людей, шарящих в криптографии. И только один аноним с ЛОРа знает секрет, который спрятан на виду у всех. Всё возможно, конечно, но маловероятно.

То что https позволяет незаметно для клиента посмотреть полный URL, и сделать на этой фичи фильтрирующий прокси в мире знает кучу народа (без впаривания корневого сертификата клиенту и полной расшифровки). Рунет тоже в курсе моей сьатейки как это сделать. У меня есть готовый прокси который может это делать, кому надо может купить, если напишет здесь для чего... И только регистраты с ЛОРа не втеме.

А cookie нельзя подсмотреть?

И только регистраты с ЛОРа не втеме.

Ну так просвети! Полмесяца на месте топчешься. Давай, колись XD

Можно точно подсмотреть полную URL не заметно для клиента.

Мне кажется что можно подсмотреть содержимое страницы, но клиент об этом уже узнает, бровзер выдаст сообщение о потере ssl соединения.. В принципе 99% не парясь просто перегрузят страничку и ssl соединение восстановится.

Это все что желаю сегодня сообщить. Имейте в ввиду и используйте многослойное шифрование. Одного https сегодня уже давно мало.

Можно точно подсмотреть полную URL не заметно для клиента.

Так cookie можно подсмотреть или нет?

Я дико извеняюсь за оффтоп. А будет ли тот же код рисования окружности но на питоне? Для сравнения.

А будет ли тот же код рисования окружности но на питоне?

Не планирую.

Да-вай, да-вай!

Подсматривать авторизационную информацию не хорошо.

У меня есть прокся которая незаметно может посмотреть URL, все остальное кажется уже заметно - клиент увидит сообщение о разрыве ssl.

Проксю продаю.

Напиши здесь с какой целью оно тебе надо. Если цель хорошая, продам проксю.

Если тебе эта технология нужна, напиши для чего, проксю могу продать.

У меня есть прокся которая незаметно может посмотреть URL, все остальное кажется уже заметно

Cookie ничем не отличаются от URL. Так что тут кто-то «дёргает меня за ногу».

Как зачем, дыру в спеках закрыть. У меня коллега — просто бог TLS, и в особенности TLS 1.3, он бы существованию этой дыры был рад больше всех подарков на дни рождения вместе взятых. Если бы она существовала, конечно. =P

Если тебе эта технология нужна, напиши для чего, проксю могу продать.

Забыли написать по предоплате.

приведи пример как закосить правдоподобно

Цена подсмотреть https сильно зависит от того в каком по порядку сетевом пакете идёт информация!!!

Первый шифрованный пакет подсмотреть ОЧЕНЬ дёшево, и полная URL в нём гарантировано будет! А где гарантия того, что в нём будут куки, пароли, другая авторизационная информация?

Для пущей безопасности проектируйте сайты так чтобы перед авторизацией надо гарантировано обменятся несколькими сетевыми запросами/ответами.

Если кто в закладках держит авторизационный URL и сразу вводит логин пароль, можно стырить авторизацию.

Выполняйте перед вводом пароля несколько кликов по разным страницам сайта. Разрыв ssl после ввода пароля - явный признак действия прокси данного типа! Меняйте пароль и сбросте активные сесии на этом сайте.

Я год назад встречал разрыв ssl после 5 кликов, это довольно дорого для атакующего.

коллега — просто бог TLS

Этого мало, проблема комплексная в https. Надо понимать как все работает в комплексе. Читай пост выше, там есть ключевой намёк, в расшифровывки ssl необходимости нет, но если у тебя есть контроль над всем трафиком, ты можешь чуть подсмотреть. ;)

Надо всем обращать внимание на разрыв ssl сесии и не вводить авторизационный данные сразу после захода на сайт, сделайте пару кликов оставаясь на этом сайте, если по клику вы уйдете с сайта, а потом вернетесь обратно, то атакующему будет легче.

Проксю можно купить у меня, предоплатой? По договору, как договоримся. Мне важно ваша цель, если хорошая, заключим договор, конечно с пунктом о неразглашении и с разрешением использовать только в вашей организации, для указанной вами хорошей цели.

Все он написал ^

Нет. Таки обратно в школу. This is not, how whole cert shit funcs.