1.1, Аноним (-), 10:29, 12/05/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>> Отмечается, что практика перехвата HTTS-трафика антивирусным ПО представляет
>> потенциальную угрозу - если профессиональные злоумышленники или спецслужбы, в
>> результате кражи или принуждения, получат в свои руки корневой сертификат
>> производителя антивирусного ПО, то они получат возможность контролировать
>> защищённый трафик пользователей данного вендора.
Тогда уж про весь SSL в таком контексте нужно говорить, что он УГ, а-то накинулись тут на бедных несчастных антивирописателей, под чьим контролем и так вся система и, как сдедствие, юзерская инфа находится.
| |
|
2.2, Xaionaro (ok), 10:36, 12/05/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Тогда уж про весь SSL в таком контексте нужно говорить, что он УГ
SSL-то в порядке. А вот PKI… Даёшь референдум за децентрализацию! :)
| |
|
3.11, Аноним (-), 15:47, 12/05/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
> SSL-то в порядке.
Вообще-то переусложненный протокол и переусложненная либа - не совсем порядок. Потому что уйма легаси и багов, а безопасно этим пользоваться умеет полтора человека на планете.
| |
|
4.19, freehck (ok), 17:52, 12/05/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
Мне кажется, это говорилось не про библиотеку (только танкисты не слышали про heartbleed), а про создание защищённого соединения при помощи двойного рукопожатия с использованием открытых-закрытых ключей.
Проблема PKI в основном состоит в том, что есть камни преткновения - так называемые Certificate Authority, закрытые сертификаты которых сертификационные центры используют для подписи сертификатов других людей, и которые импортированы по умолчанию в веб-браузеры.
Короче говоря, если кто-то заполучит сертификат CA, то это будет ЧП мирового масштаба.
| |
|
5.23, Золотой Молох (?), 21:56, 12/05/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нет, не будет. Такое было не раз, и будет ещё не раз. Ну и чисто для удовлетворения моего любопытства: а если самый настоящий УЦ выпишет не менее настоящий сертификат для какого-либо домена, скажем gmail.com, не имея для этого никаких "легальных" оснований -- это будет ЧП мирового масштаба или так, фигня на постном масле?
| |
|
6.25, хм (?), 22:30, 12/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Нет, не будет. Такое было не раз, и будет ещё не раз.
> Ну и чисто для удовлетворения моего любопытства: а если самый настоящий
> УЦ выпишет не менее настоящий сертификат для какого-либо домена, скажем gmail.com,
> не имея для этого никаких "легальных" оснований -- это будет ЧП
> мирового масштаба или так, фигня на постном масле?
фигня, уже было. На право и налево раздают сертификаты, которые могут выписывать валидные сертификаты для gmail.com. Сабж не читал?
Фигня потому что ты не обязан доверять никакому CA. Можешь их все удалить, или только те, которые выдают вторичные корневые из сабжа.
| |
|
5.29, Аноним (-), 08:17, 13/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
> использованием открытых-закрытых ключей.
Посмотри на TLS, почитай описание протокола. А потом читани описание какого-нибудь CurveCP. Так, для контраста. Чтобы осознать насколько одно и то же может быть разным по сложности реализации. Разница дикая. Ясен пень не в пользу TLS. А чем сложнее протокол - тем больше багов в его реализациях и в вариантах протокольной логики. Heartbleed - один из примеров. Но вообще-то если выбирать для протокола девиз, для TLS хорошо бы подошел "а теперь со всей этой фигней мы попробуем взлететь".
> Короче говоря, если кто-то заполучит сертификат CA, то это будет ЧП мирового
> масштаба.
И, как видим, каждые 2 случая из 1000 уже являются фуфлом. То-есть, не только заполучили, но и пользуются.
| |
|
|
|
|
1.6, Доктор Звездулькин (?), 11:51, 12/05/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>а-то накинулись тут на бедных несчастных антивирописателей, под чьим контролем и так вся система и, как сдедствие, юзерская инфа находится.
Ну, чтобы злоумышленник (или правоохранитель в штатском) получил доступ ко всей системе через антивирус, в нём должен быть бэкдор. Это технически труднее и может всплыть. А вот если я знаю, что Вася пользуется антивирусом Кашпировского, и у меня есть сертификат Кашпировского и я могу перехватить соединение, то я могу организовать MITM для Васи с любого сайта безо всякого насилия над самим Васиным компом.
Другое дело, что, я так думаю, нормальный антивирус должен поднять тревогу, если обнаружит, что из интернета предъявили его сертификат, который должен использоваться только на локальной машине.
| |
|
2.20, freehck (ok), 17:57, 12/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Другое дело, что, я так думаю, нормальный антивирус должен поднять тревогу, если
> обнаружит, что из интернета предъявили его сертификат, который должен использоваться только
> на локальной машине.
Вы сами-то поняли, что написали?
Чей-чей сертификат? Антивируса? Откуда получит? Что значит "должен использоваться на локальной машине"?
| |
|
3.21, Доктор Звездулькин (?), 18:49, 12/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
>Вы сами-то поняли, что написали?
>Чей-чей сертификат? Антивируса? Откуда получит? Что значит "должен использоваться на локальной машине"?
Ну, как я понимаю, схема такая же, как на некоторых инсталляциях в локальной сети. То есть:
Без антивируса:
Сервер --> [сертификат сервера] --> Васин браузер
С антивирусом:
Сервер --> [сертификат сервера] --> Антивирус --> [сертификат антивируса] --> Васин браузер
Если сертификат антивируса придёт от сервера, то надо поднимать тревогу.
| |
|
4.22, Аноним (-), 20:21, 12/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Ну, как я понимаю
Увы, доктор, вы понимаете неверно. Нет никаких сертификатов антивирусов. Есть сертификаты серверов, в том числе сертификаты серверов, с которыми соединяется антивирус (скажем, для обновления сигнатур).
| |
4.27, freehck (ok), 01:50, 13/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
Это печально. Вы, судя по всему, работаете на догадках, чего в данном деле быть не должно.
Вам нужно почитать какую-нибудь справку по сабжу. Вот это вполне подойдёт для ознакомления с теоретической частью: http://www.tldp.org/HOWTO/SSL-Certificates-HOWTO/
По крайней мере именно это мне рекомендовал в своё время Вагнер.
| |
|
5.38, Аноним (-), 18:23, 13/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
Ты бы новость почитал сначала, особенно кусок про перехват трафика антивирусами. Именно так это и работает.
| |
5.39, arisu (ok), 18:39, 13/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
а что он, кстати, неправильно описал? анонимус выше вполне резонно удивляется, потому что схема MITM описана вполне верно, хоть и поверхностно. ок, на самом деле там будет *корневой* сертификат от антивируса, и подписаные ним сертификаты для других ресурсов. поскольку антивирус спокойно встроит свой сертификат в системное хранилище как довереный, то браузер даже и не пискнет, увидев вполне легальный сертификат, подписаный довереным root authority.
inb4: нет, практик. для PoC пришлось, правда, вернуть в PolarSSL код генерации сертификатов.
| |
|
|
|
|
1.7, Игорь (??), 13:57, 12/05/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
У меня в squid пользователи тоже через https под созданным мною сертификатом сидят в инете. По другому никак.
| |
|
2.9, asavah (ok), 14:56, 12/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
ну это другой вопрос.
внутри сети конторы, по указанию руководства можно (нужно???) перехватывать/заворачивать/отслеживать всё и вся.
а вот всякие "дикие" MITM - плёхо.
| |
2.10, Xaionaro (ok), 15:28, 12/05/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> У меня в squid пользователи тоже через https под созданным мною сертификатом
> сидят в инете. По другому никак.
А что этот squid делает в случае невалидного сертификата на удалённой стороне?
А так же что он делает, елси пользователь пытается авторизоваться используя свой клиентский сертификат?
Возможно вообще не стоит вообще обманывать пользователей, и перенаправлять их на http к squid-у, а со squid-а уже https. Как-то как не крути, всё слишком криво получается при данной схеме)
| |
|
3.13, Аноним (-), 15:50, 12/05/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
> А что этот squid делает в случае невалидного сертификата на удалённой стороне?
Лучше пусть скажет, какие гарантии что он креды кардерам не сливает со своего сквида. Никаких? Ну тогда при случае сажать как сообщника.
| |
|
4.26, Аноним (-), 00:22, 13/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
Не забываем, что это корпоративная сеть какого-то предприятия. Нехер из корпоративной сети выполнять банковские операции с личными счетами.
| |
|
5.28, Могикан (?), 05:57, 13/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
Если это не подписано __всеми__ сотрудниками конторы и они не стоят в известности - то это преступление.
| |
5.30, Аноним (-), 08:21, 13/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Не забываем, что это корпоративная сеть какого-то предприятия.
Насколько я помню, УК РФ кроме всего прочего обещает некислые кары за подобную активность, при том там потенциально чуть не полдюжины статей подходят. А персонально моя точка зрения - если вы проводите такую активность то в случае утечки данных должны отвечать как соучастник.
| |
|
|
|
2.12, Аноним (-), 15:49, 12/05/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
> У меня в squid пользователи тоже через https под созданным мною сертификатом
> сидят в инете. По другому никак.
И какой смысл от такого https? Вы, или хакер на этом сквиде, или кто там еще в два счета могут умыкнуть сведения о кредитных картах и прочее. Надеюсь что в случае таких вещей вас вздрючат по полной программе и вообще сделают подозреваемым.
| |
2.15, хмм (?), 16:34, 12/05/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
> У меня в squid пользователи тоже через https под созданным мною сертификатом
> сидят в инете. По другому никак.
статьей попахивает
| |
2.31, arisu (ok), 12:20, 13/05/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
> У меня в squid пользователи тоже через https под созданным мною сертификатом
> сидят в инете. По другому никак.
ням-ням-ням! у тебя благосостояние как? а то, понимаешь, первый же более-менее умный пользователь шустренько пишет заявление про то, что «пропало куртки замшевых три и стопицот мильёнов денег со счёта», после чего ещё твои внуки будут его внукам выплачивать компенсации.
| |
2.32, arisu (ok), 12:21, 13/05/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
> У меня в squid пользователи тоже через https под созданным мною сертификатом
> сидят в инете. По другому никак.
p.s. и да, «начальство приказало» в данном случае отмазкой не является. если начальство тупое и приказало это письменно, то пойдёт соучастниками. а если умное и как обычно, устным приказом, то оно вообще не при чём.
| |
|
|
2.16, Andrey Mitrofanov (?), 16:38, 12/05/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Они ещё предлагают Flash, как костыль к PKI использовать, ну вообще прекрасно!
Прекрасна глубина твоих выводов из прочитанного.
Они предлагают, как пример, "HSTS and HPKP defenses [..., как...] most readily supported in [...] major browsers today", хотя и не "prevent all types of attacks [...]".
А флеш у них, как инструмент "скриптования" на стороне клиента~~~
| |
|
1.17, ILYA INDIGO (ok), 16:44, 12/05/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>А флеш у них, как инструмент "скриптования" на стороне клиента~~~
То есть у каждого клиента должен стоять flash-плагин, иначе это не работает?
Или я снова не так понял?
| |
|
2.18, Andrey Mitrofanov (?), 17:05, 12/05/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> То есть у каждого клиента должен стоять flash-плагин, иначе это не работает?
> Или я снова не так понял?
Не напрягайся так. У каждого клиента *facebook*-а _стоит_ флеш. Исключения подтверждают и пренебрегаются.
| |
|
1.24, НеАноним (?), 22:30, 12/05/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
После появления новости http://www.opennet.dev/opennews/art.shtml?num=33034 я в рассылке Mozilla предлагал сделать из JavaScript доступ к полученному https сертификату сервера, чтобы можно было передать его обратно на сервер и там сравнить с тем, который был отправлен самим сервером. Так можно было бы эффективно собирать информацию о центрах авторизации, типа Trustwave, которые продают свои корневые сертификаты для организации атак MiTM. Уверен, что после сбора достаточного количества статистики таких умников поубавилось бы, так как мало кто любит сообщников в получении информации о собственной частной жизни. И в любом случае стоимость таких левых сделок увеличилась бы на порядок, а значит, организаций, способных купить железку, способную проксировать и прослушивать https трафик тоже стало на порядок меньше. Понятно, что от NSA это не защитит, но и для них такая операция станет сложнее и, возможно, ее не получится проделывать совсем автоматически.
Однако, мозилловцы ответили, что "человек посредине" сможет и JavaScript отключить, и подменить его. Все верно, но для частичного изменения JavaScript потребуется искусственный интеллект, а его полное отключение может частично или полностью сделать неработоспособным сайт, их не насторожило.
P.S. Про Сноудена тогда никто еще не знал, но другого объяснения, кроме негласной "дружбы" с АНБ я не нашел.
| |
|
2.33, angra (ok), 12:23, 13/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Однако, мозилловцы ответили, что "человек посредине" сможет и JavaScript отключить, и подменить
> его. Все верно, но для частичного изменения JavaScript потребуется искусственный интеллект,
> а его полное отключение может частично или полностью сделать неработоспособным сайт,
> их не насторожило.
Какой нафиг искусственный интеллект? В данном случае javascript патчится банальным поиском и заменой подстроки. Не надо искать заговор там, где ты просто не понимаешь смысл ответов.
| |
|
3.36, НеАноним (?), 17:40, 13/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
А после замены кода JavaScript придется снова разрабатывать патч. Делать это нужно либо вручную, либо... Ну в общем тот кто это будет делать должен обладать интеллектом.
| |
|
4.40, angra (ok), 01:22, 14/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
Специально для одаренных поясняю. Ты предложил добавить новую функцию в js api. У этой функции будет фиксированное имя. Ищется в коде данный вызов или присвоение функции и заменяется на константу или функцию-константу. Содержимое всего остального кода роли не играет, ничего анализировать не нужно. gameover. Похоже, искусственный интеллект тут нужен отнюдь не злобным взломщикам.
| |
|
5.42, rob pike (?), 12:03, 14/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
Он с сервера же предложил отдавать тот javascript. Что в общем логично, бо по идее именно владельцу сервера должно быть интереснее всего узнать не перехватывается ли сессия с ним кем-нибудь по дороге. Ну, если владелец сервера не РЖД, конечно.
И кто ж мешает отдавая этот JS клиенту его легонечко полиморфировать, чем-нибудь серверным посолив? И никаких фиксированных имен и вообще символов, привет перехватчикам.
| |
|
6.43, arisu (ok), 14:42, 15/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
дальше они предложат встраивать js-код прямо в сертификаты. потом — что js слишком медленный и глазами видно, надо встраивать байткод жабы. потом ещё что-нибудь идиотичное. вместо чтобы понять, что тришкин кафтан ремонту не поддаётся вообще. никакими методами.
| |
|
7.47, rob pike (?), 12:20, 16/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
> дальше они предложат встраивать js-код прямо в сертификаты
Нет, потому что это сведет всю идею к нулю
| |
|
8.48, arisu (ok), 12:25, 16/05/2014 [^] [^^] [^^^] [ответить] | +/– | идею 171 продадим лохам побольше воздуха 187 полноте, эту идею не угробить ... текст свёрнут, показать | |
|
|
|
|
|
|
|
3.35, arisu (ok), 17:00, 13/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
> А в виде extension не получится это сделать?
это всё — костыли для паралитика.
| |
|
4.41, rob pike (?), 11:58, 14/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
С паралитиком аналогии не усмотрел.
С костылями намного лучше чем ползать гусеницей, всё ж мы прямоходящие.
А разговоры о том что HTTPS в корне крив и так далее - оставьте, нам с ним жить и никуда мы от него не денемся в ближайшую декаду.
| |
|
5.44, arisu (ok), 14:48, 15/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
> нам с ним жить и никуда мы от него
> не денемся в ближайшую декаду.
обожаю такие спичи.
он крив. починить его невозможно, ибо он defective by design. каждый костыль для уродца продлевает ему жизнь ещё на несколько лет. соответственно, те, кто хотя бы считают такие костыли «неизбежным злом» — срут себе же на лысины. люди, ау, вы вообще хотя бы в простейшую логику умеете?
| |
|
6.46, rob pike (?), 12:19, 16/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
Вы что конкретно предлагаете? Отключить везде HTTPS с завтрашнего дня чтоб мир содрогнулся? Не рассматривая этичность подобных подходов ("чем хуже, тем лучше" - ваш кумир В.И.Ленин, кстати, негативно относился к такому подходу). Осталось придумать как договориться о том чтобы отключили таки все, потому что те, кто не отключит тут же получат конкурентное преимущество перед отключившими.
| |
|
7.49, arisu (ok), 12:28, 16/05/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Вы что конкретно предлагаете?
много чего. как минимум — децентрализованную систему. наличие root CA — это крест на всей «секурности» сразу.
> Отключить везде HTTPS с завтрашнего дня чтоб мир
> содрогнулся?
и чтобы младенцы умирали тысячами, да. пока ещё не выросли в полновесных дураков.
> ваш кумир В.И.Ленин
«дядя Петя, ты дурак?» (ц)
> как договориться о том чтобы отключили таки все
на «всех» совершенно наплевать: вполне достаточно следить за собой.
> кто не отключит тут же получат конкурентное преимущество перед отключившими.
какая досада! (ц)
| |
|
|
9.53, arisu (ok), 12:50, 16/05/2014 [^] [^^] [^^^] [ответить] | +/– | ждать волшебника на голубом вертолёте, разумеется а пока он не прилетел 8212 ... текст свёрнут, показать | |
|
|
|
|
|
|
3.37, НеАноним (?), 17:43, 13/05/2014 [^] [^^] [^^^] [ответить]
| +/– |
Расширения имеют необходимый доступ, но их нужно специально устанавливать, а JavaScript установлен везде.
Как раз потому что расширения умеют получать необходимую информацию, я предположил, что сделать то же самое для JavaScript совсем несложно.
| |
|
|
1.45, Аноним (-), 01:03, 16/05/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ха. а на chaoscon последнем - дядьки из EFF https-обсерватории - оценили обьем bogus сертификатов или даже ауторити, совокупно - почти в 27%, плюс обьем хайджака IKE траффика - тоже высок.
пошарьте на ютубе 3сo -видеоролики.
| |
|