как принудительно отломать https?

0

1

привет, лор. в силу разных причин у меня в качестве основного браузера - Опера той самой версии. и все бы ничего, но развелось слишком уж много сайтов, на которых "Unable to complete secure transaction" - потому как оно не поддерживает ssl выше какой-то версии, а вместо системных ssl-либ использует что-то свое. а пропячить нельзя, потому что проприетарщина (фу таким быть!).
для простоты картины можете представить, что у меня ретро-пентиум, на котором новее 98-го или максимум 2000-го шиндошса ничего не заведешь, с соответствующим браузером. сути это не меняет))
короче, я хочу на подкроватный сервер поставить какое-нибудь прокси (наверно), которое бы:
- в ответ на все запросы к https://example.com/bla/bla отдавало редирект а-ля "301 http://example.com/bla/bla'', чтобы заставить браузер получать данные по http
- редиректнутые запросы от браузера слало бы на сервер, получало ответ по https, если уж они настаивают, расшифровывало и отдавало браузеру по http
то есть с точки зрения браузера это должно выглядеть, как будто с https его послали, редиректнули на http и в ответ на http-запрос отдали данные по http, все как положено. а весь ssl со всей мурней скинуть на прокси или что-то там.
так же можно, правда? правда можно?

Ссылка

←	Присоединился к LLVM

Сколько нынче надо железа чтобы собрать chromium?

→

BITB это не только атака, да и задумывалось не для этого…

faq2 ★
(04.08.22 09:23:42 MSK)

Ссылка

А если хочешь таки в виде шлюза, почти уверен, что nginx умеет так термнировать TLS.

faq2 ★
(04.08.22 09:25:15 MSK)

Ссылка

Можно

Самый простой вариант — поднять любой прокси-сервер и поставить перед ним sslstrip.

tiinn ★★★★★
(04.08.22 09:36:15 MSK)

Ссылка

или максимум 2000-го шиндошса ничего не заведешь, с соответствующим браузером.

На Win2K можно поставить оперу мини - и тогда в интернет ходить будет существенно веселее.

tiinn ★★★★★
(04.08.22 09:38:05 MSK)

Ссылка

retro-proxy

CYB3R ★★★★★
(04.08.22 09:55:59 MSK)
Последнее исправление: CYB3R 04.08.22 09:56:13 MSK (всего исправлений: 1)

Ссылка

Вот тут есть патчи на оперу 12.15: openopera-patches. Не вижу ничего для поддержки SSL, но возможно, просто пересобрать, слинковав с более новыми библиотеками будет достаточно.

CYB3R ★★★★★
(04.08.22 10:00:36 MSK)

Подними squid в режиме man-in-the-middle и разреши в его конфиге старые версии TLS и шифры.

maxcom ★★★★★
(04.08.22 10:03:59 MSK)

Ссылка

Ответ на: комментарий от CYB3R 04.08.22 10:00:36 MSK

Вот тут нашёл патчи на поддержку более новых версий OpenSSL: opssl-patches. В ридми предупреждение насчёт плохого качества кода.

CYB3R ★★★★★
(04.08.22 10:07:27 MSK)

Ссылка

http to https forward proxy можно сделать с помощью стандартного nginx.

Rost ★★★★★
(04.08.22 12:28:28 MSK)
Последнее исправление: Rost 04.08.22 12:29:06 MSK (всего исправлений: 1)

Ссылка

А потом ты встретишься с проверкой сертификата на клиенте и опять будешь ее ломать. Обнови софт@железо

cobold ★★★★★
(04.08.22 18:15:25 MSK)

Ссылка

Смотрю на современные браузеры и понимаю, почему человек хочет престо.

pekmop1024 ★★★★★
(04.08.22 18:32:39 MSK)

Ссылка

Возникает интересный вопрос как с таким бороться со стороны сервера. Подумываю тут пропатчить nginx чтобы запретить HTTP/1(.1), но от прокси это не спасёт. Видимо придётся читать caniuse и внедрять свежие фичи в приложение.

slovazap ★★★★★
(04.08.22 19:57:13 MSK)

Ответ на: комментарий от slovazap 04.08.22 19:57:13 MSK

А зачем с этим бороться?

CYB3R ★★★★★
(04.08.22 20:17:13 MSK)

Ссылка

Ответ на: комментарий от slovazap 04.08.22 19:57:13 MSK

Зачем? Чисто на ровном месте поднасрать всем? Любишь чтоб тебя все ненавидели?

LINUX-ORG-RU ★★★★★
(04.08.22 20:23:24 MSK)

Ответ на: комментарий от LINUX-ORG-RU 04.08.22 20:23:24 MSK

Не всем, а конкретно некрофилам на таких вот операх и всяких FF LTS, из-за процента которых задерживается внедрение новых протоколов и фич браузеров, из-за чего я страдаю лично.

slovazap ★★★★★
(04.08.22 20:47:32 MSK)

Ответ на: комментарий от slovazap 04.08.22 20:47:32 MSK

Эммммм…. ладна. Человек через прокси себе делать хочет при это сохраняя весь современный стек до себя, а ты хочешь через костыли сломать проксирование. Ладно бы он на прямую хотел да и то, а так.

LINUX-ORG-RU ★★★★★
(04.08.22 21:05:03 MSK)

Ссылка

Ответ на: комментарий от slovazap 04.08.22 20:47:32 MSK

Ничего там не задерживается.
В Обычный ФФ внедряются все новые фичи и протоколы.
ЛТС версия для предприятий предназначена.
У хрома тоже есть ЛТС версия.

~~Minona~~ ★★☆
(04.08.22 21:42:29 MSK)

Ссылка

https://hub.docker.com/r/valdikss/oldssl-proxy

ValdikSS ★★★★★
(04.08.22 22:39:52 MSK)

Ссылка

Ответ на: комментарий от slovazap 04.08.22 20:47:32 MSK

Не всем, а конкретно некрофилам на таких вот операх и всяких FF LTS, из-за процента которых задерживается внедрение новых протоколов и фич браузеров, из-за чего я страдаю лично.

Просто игнорируй некрофилов, их мало, они в основном молчат, и за это тебе ничего не будет. Настоящие враги - это всякие облачные решения для безопасности, типа ZScaler, которыми из-за глупых законов вынуждены пользоваться твои платежеспособные клиенты. Они MITM-ят HTTPS и переписывают ответы по-своему, в итоге мне летят отчеты о нарушении Content-Security-Policy и невозможные traceback’и в javascript. Типа «не могу выполнить javascript с polyfill.io», тогда как этот хост явно прописан в заголовке как разрешенный. См. https://github.com/getsentry/sentry/issues/31512

AEP ★★★★★
(05.08.22 09:35:02 MSK)

Ссылка

поставь под кровать windows и ходи на него по RDP со своего калькулятора

stalkerbss
(05.08.22 15:28:32 MSK)

Ссылка

BITB это не только атака, да и задумывалось не для этого…

mitm знаю, а это что такое? beer in the bottle?)))

Можно
Самый простой вариант — поднять любой прокси-сервер и поставить перед ним sslstrip.

спасибо, ту тему тоже проштудирую

retro-proxy

в дебиане есть? или собирай@компиляй?

Подними squid в режиме man-in-the-middle и разреши в его конфиге старые версии TLS и шифры

ничего не понятно, но очень интересно)) ладно, ключевые слова для гуглежа есть, попробую

Вот тут есть патчи на оперу 12.15

но как? оно жеж закрытое. или они такие выложили старые версии в опенсорц?

http to https forward proxy можно сделать с помощью стандартного nginx.

есть какой-нибудь RTFM для тупых? а то я простой пролетарий, в этих ваших сетях с проксями - как свинья в апельсинах

А потом ты встретишься с проверкой сертификата на клиенте и опять будешь ее ломать

что это такое, и зачем оно мне не нужно? вон, лорчик работает без всякой фигни. ну и вообще, для говносайтов, требующих новых фич и не работающих без тонны говна, у меня есть отдельная свежая система со свежим тормознутым хромоногим недобраузером. но пользоваться этим можно только по нужде (и новыми прогами на всяких этих гтк3 - тоже)

Смотрю на современные браузеры и понимаю, почему человек хочет престо.

именно поэтому. но на самом деле все проще - кроме оперы, лучшие умы чел-овечества так и не придумали браузера с нормальной клавиатурной навигацией, все остальное невозможно использовать без мышиной возни, увы(((

Возникает интересный вопрос как с таким бороться со стороны сервера

убрать дурацкий принудительный редирект с http на https. кто хочет - пусть шифрует публичный контент, кто не хочет - пусть не шифрует. вот почему так нельзя? ах да, сосурити же!