LINUX.ORG.RU
ФорумTalks

На сколько стойкий HTTPS к прослушке трафика?

 ,


0

1

Вот взять например любого интернет-провайдера. По сути сис.админ допущенный к ключевым девайсам имеет все возможности совершить mitm атаку. Спасет ли от этого HTTPS?

★★★★★

Последнее исправление: Siado (всего исправлений: 2)

Ээ, смотря о каком виде трафика идет речь. https?

xtraeft ★★☆☆
()

если у админа есть ключ от доверенного корневого сертификата, либо если ты кликаешь не глядя на сообщения о подозрительных сертификатах - то да, может

Harald ★★★★★
()

Спасет ли от этого SSL?

Уже нет.
1) https://www.google.ru/search?q=POODLE SSLv3 Правда пока никто не озаботился полным отключением ssl. Поскольку спасение утопающих сами знаете чьё дело, то ssl все версии надо отключить в браузере и использовать только tls.
2) По поводу MITM. Твой трафик могут пустить через прозрачный прокси с ssl-bump. Опознаётся это по сертификату, который тебе отдают. Но, из-за https://www.google.ru/search?q=heartblead тебе могут подсунуть и вполне настоящий сертификат.

imul ★★★★★
()
Ответ на: комментарий от xtraeft

heartblead в особо тяжких случаях невезения (теоретически) могла позволить утащить и приватный ключ из памяти.
Не думаю, что все сразу же после закрытия уязвимости бросились перевыпускать сертификаты.

imul ★★★★★
()
Ответ на: комментарий от imul

https://www.google.ru/search?q=POODLE SSLv3 Правда пока никто не озаботился полным отключением ssl.

Ну можно как гугл оставить для ssl 3 только RC4. Правда и без POODLE у SSL 3 хватает проблем.

По поводу MITM. Твой трафик могут пустить через прозрачный прокси с ssl-bump. Опознаётся это по сертификату, который тебе отдают.

Ну для крупных сайтов эта проблема частично решена через pinning листы, в том же хроме он достаточно большой.

Vovka-Korovka ★★★★★
()
Ответ на: комментарий от Vovka-Korovka

Угу...
openssl s_client -connect http://www.gmail.com:443 -ssl3 2>&1 | grep Cipher
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-RC4-SHA
Cipher : ECDHE-RSA-RC4-SHA

Но интернет чуть больше чем гугль.
openssl s_client -connect online.sberbank.ru:443 -ssl3 2>&1 | grep Cipher
New, TLSv1/SSLv3, Cipher is AES256-SHA
Cipher : AES256-SHA

imul ★★★★★
()
Ответ на: комментарий от Vovka-Korovka

Насчёт пининга. Это тоже свежее нововведение. Людей же фиг заставишь обновлять ПО.

imul ★★★★★
()
Ответ на: комментарий от xsektorx

с этим всё равно можно только новый сертификат подписать

Ну и что? Новый будет не хуже, ну или почти не хуже - тут зависит от того использует ли приложение pinning листы или нет. На самом деле такое извращение практикуются, некоторые CA отдают сертификаты с правом подписи некоторым компаниям, чтобы те могли прослушивать SSL трафик.

Vovka-Korovka ★★★★★
()
Ответ на: комментарий от Vovka-Korovka

не чтобы прослушать, а чтобы могли сами выпускать. по крайней мере, официально

xsektorx ★★★
()
Ответ на: комментарий от Shaman007

Вот вроде по контексту понятно...

Но гуманитарию прямо скажи.
Вот я зашел по хттпс в свой вебмин (не нужен, да) из незнакомой сети, но со своего ноута. Сеть явно слушают\шпионят. Мне бояться?

dk-
()
Ответ на: комментарий от Shaman007

Ну новых левых не предлагали.

\\
Как-то приехал на встречу в Армаду (группа ИТ компаний). У них там гостевой вайфай. Я хотел зайти в почту. Мне их проксюшник давай пихат какой-то сертификат. Я перестраховался и отключился от сети.

dk-
()
Ответ на: комментарий от Harald

Пофикшен, но сертификаты далеко не все поменяли.

А свистнуть их с сервера было можно, пока уязвимость была. Емнип даже банки её закрыли далеко не сразу. А уж сколько времени прошло между «нашли @ поюзали» и «высрали в паблик» - даже подумать боюсь.

svr4
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.