LINUX.ORG.RU
ФорумTalks

как принудительно отломать https?


0

1

привет, лор. в силу разных причин у меня в качестве основного браузера - Опера той самой версии. и все бы ничего, но развелось слишком уж много сайтов, на которых "Unable to complete secure transaction" - потому как оно не поддерживает ssl выше какой-то версии, а вместо системных ssl-либ использует что-то свое. а пропячить нельзя, потому что проприетарщина (фу таким быть!).
для простоты картины можете представить, что у меня ретро-пентиум, на котором новее 98-го или максимум 2000-го шиндошса ничего не заведешь, с соответствующим браузером. сути это не меняет))
короче, я хочу на подкроватный сервер поставить какое-нибудь прокси (наверно), которое бы:
- в ответ на все запросы к https://example.com/bla/bla отдавало редирект а-ля "301 http://example.com/bla/bla'', чтобы заставить браузер получать данные по http
- редиректнутые запросы от браузера слало бы на сервер, получало ответ по https, если уж они настаивают, расшифровывало и отдавало браузеру по http
то есть с точки зрения браузера это должно выглядеть, как будто с https его послали, редиректнули на http и в ответ на http-запрос отдали данные по http, все как положено. а весь ssl со всей мурней скинуть на прокси или что-то там.
так же можно, правда? правда можно?

BITB это не только атака, да и задумывалось не для этого…

faq2 ()

А если хочешь таки в виде шлюза, почти уверен, что nginx умеет так термнировать TLS.

faq2 ()

Можно

Самый простой вариант — поднять любой прокси-сервер и поставить перед ним sslstrip.

tiinn ★★★★★ ()

или максимум 2000-го шиндошса ничего не заведешь, с соответствующим браузером.

На Win2K можно поставить оперу мини - и тогда в интернет ходить будет существенно веселее.

tiinn ★★★★★ ()

Вот тут есть патчи на оперу 12.15: openopera-patches. Не вижу ничего для поддержки SSL, но возможно, просто пересобрать, слинковав с более новыми библиотеками будет достаточно.

CYB3R ★★★★★ ()

Подними squid в режиме man-in-the-middle и разреши в его конфиге старые версии TLS и шифры.

maxcom ★★★★★ ()
Ответ на: комментарий от CYB3R

Вот тут нашёл патчи на поддержку более новых версий OpenSSL: opssl-patches. В ридми предупреждение насчёт плохого качества кода.

CYB3R ★★★★★ ()

http to https forward proxy можно сделать с помощью стандартного nginx.

Rost ★★★★★ ()
Последнее исправление: Rost (всего исправлений: 1)

А потом ты встретишься с проверкой сертификата на клиенте и опять будешь ее ломать. Обнови софт@железо

cobold ★★★★ ()

Смотрю на современные браузеры и понимаю, почему человек хочет престо.

pekmop1024 ★★★★★ ()

Возникает интересный вопрос как с таким бороться со стороны сервера. Подумываю тут пропатчить nginx чтобы запретить HTTP/1(.1), но от прокси это не спасёт. Видимо придётся читать caniuse и внедрять свежие фичи в приложение.

slovazap ★★★★★ ()
Ответ на: комментарий от LINUX-ORG-RU

Не всем, а конкретно некрофилам на таких вот операх и всяких FF LTS, из-за процента которых задерживается внедрение новых протоколов и фич браузеров, из-за чего я страдаю лично.

slovazap ★★★★★ ()
Ответ на: комментарий от slovazap

Эммммм…. ладна. Человек через прокси себе делать хочет при это сохраняя весь современный стек до себя, а ты хочешь через костыли сломать проксирование. Ладно бы он на прямую хотел да и то, а так.

LINUX-ORG-RU ★★★★★ ()
Ответ на: комментарий от slovazap

Ничего там не задерживается.
В Обычный ФФ внедряются все новые фичи и протоколы.
ЛТС версия для предприятий предназначена.
У хрома тоже есть ЛТС версия.

Minona ★★★ ()
Ответ на: комментарий от slovazap

Не всем, а конкретно некрофилам на таких вот операх и всяких FF LTS, из-за процента которых задерживается внедрение новых протоколов и фич браузеров, из-за чего я страдаю лично.

Просто игнорируй некрофилов, их мало, они в основном молчат, и за это тебе ничего не будет. Настоящие враги - это всякие облачные решения для безопасности, типа ZScaler, которыми из-за глупых законов вынуждены пользоваться твои платежеспособные клиенты. Они MITM-ят HTTPS и переписывают ответы по-своему, в итоге мне летят отчеты о нарушении Content-Security-Policy и невозможные traceback’и в javascript. Типа «не могу выполнить javascript с polyfill.io», тогда как этот хост явно прописан в заголовке как разрешенный. См. https://github.com/getsentry/sentry/issues/31512

AEP ★★★★★ ()

поставь под кровать windows и ходи на него по RDP со своего калькулятора

stalkerbss ()

BITB это не только атака, да и задумывалось не для этого…

mitm знаю, а это что такое? beer in the bottle?)))

Можно
Самый простой вариант — поднять любой прокси-сервер и поставить перед ним sslstrip.

спасибо, ту тему тоже проштудирую

retro-proxy

в дебиане есть? или собирай@компиляй?

Подними squid в режиме man-in-the-middle и разреши в его конфиге старые версии TLS и шифры

ничего не понятно, но очень интересно)) ладно, ключевые слова для гуглежа есть, попробую

Вот тут есть патчи на оперу 12.15

но как? оно жеж закрытое. или они такие выложили старые версии в опенсорц?

http to https forward proxy можно сделать с помощью стандартного nginx.

есть какой-нибудь RTFM для тупых? а то я простой пролетарий, в этих ваших сетях с проксями - как свинья в апельсинах

А потом ты встретишься с проверкой сертификата на клиенте и опять будешь ее ломать

что это такое, и зачем оно мне не нужно? вон, лорчик работает без всякой фигни. ну и вообще, для говносайтов, требующих новых фич и не работающих без тонны говна, у меня есть отдельная свежая система со свежим тормознутым хромоногим недобраузером. но пользоваться этим можно только по нужде (и новыми прогами на всяких этих гтк3 - тоже)

Смотрю на современные браузеры и понимаю, почему человек хочет престо.

именно поэтому. но на самом деле все проще - кроме оперы, лучшие умы чел-овечества так и не придумали браузера с нормальной клавиатурной навигацией, все остальное невозможно использовать без мышиной возни, увы(((

Возникает интересный вопрос как с таким бороться со стороны сервера

убрать дурацкий принудительный редирект с http на https. кто хочет - пусть шифрует публичный контент, кто не хочет - пусть не шифрует. вот почему так нельзя? ах да, сосурити же!

https://hub.docker.com/r/valdikss/oldssl-proxy
hub.docker.com

эээ, это точно то, что мне надо? а в дебиане есть? или хотя бы просто деб-пакетом, чтоб без пердолинга?

поставь под кровать windows и ходи на него по RDP со своего калькулятора

это лучший ответ! лор - торт! но почему шиндошс?

PerdunJamesBond ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)