-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
безопасность передачи информации через прокси
- Автор темы JSergRu
- Дата начала
Ragazzo
TDD interested
Вурдалак
Даже в сраной википедии написано что можно(если постараться), ну конечно у тебя - нет. пруф-непруф.
Даже в сраной википедии написано что можно(если постараться), ну конечно у тебя - нет. пруф-непруф.
Вурдалак
Продвинутый новичок
Сертификат, помимо того, что должен быть подписан доверенным центром сертификации, еще содержит доп. информацию типа домена, поэтому левый сертификат, пусть и подписанный тем же центром сертификации, не пройдет. В противном случае, HTTPS был бы бесполезен. Любой сисадмин мог бы смотреть вашу почту, пока вы сидите через HTTPS на gmail.com.
Не, ну а если принимать левый сертификат, не обращая внимания на предупреждение, то так можно любой протокол забраковать.
Не, ну а если принимать левый сертификат, не обращая внимания на предупреждение, то так можно любой протокол забраковать.
Вурдалак
Продвинутый новичок
Это нарушение протокола, т.е. нарушив протокол — можно! Значит протокол — говно. Хорошая логика, спасибо, ясно. Вася Пупкин отредактировал Википедию — стало можно. А вот Петя Сидиров пишет, например: http://en.wikipedia.org/wiki/HTTPS
Почему Ragazzo решил послушать Васю, а не Петю?
Ragazzo
TDD interested
Вурдалак
Где нарушение протокола?пользователю сунул сертфикат, серверу сунул сертфикат, что изменилось в протоколе с точки зрения передачи данных?они также шифруются. Забей, не хочу тут срачь разводить ТС все равно это не интересно.
Потому что Петя только как и Ты сказал что нельзя, не приведя никаких аргументов.
Где нарушение протокола?пользователю сунул сертфикат, серверу сунул сертфикат, что изменилось в протоколе с точки зрения передачи данных?они также шифруются. Забей, не хочу тут срачь разводить ТС все равно это не интересно.
Потому что Петя только как и Ты сказал что нельзя, не приведя никаких аргументов.
JSergRu
..ιilliιlιiιliιllilιι..
Нет, в wikileaks ничего не отправляю, но будет обидно, если сопрут хоть и небешено раскрученные сайты, но часть дохода приносящие. А поверте бывают такие негодяи которые это сделают "по-приколу".
Ок, значит можно быть спокойным, если не принимать никаких сертификатов во время использования промежуточных прокси?
Ок, значит можно быть спокойным, если не принимать никаких сертификатов во время использования промежуточных прокси?
JSergRu
..ιilliιlιiιliιllilιι..
и я не замечу этого??? O_O
Правильно подписанный сертификат не будет вылетать с просьбой его принять, а будет аппрувиться браузером втихую.
можно и ректальный криптоанализ применить, не надо уже доводить тему до абсурда
Вурдалак
Продвинутый новичок
Если можно применить терморектальный криптоанализ, то протокол — говно! «Факт был в том можно или нет, оказалось — можно!»
Не, ну логика такая.
Логика, да. Конечно снифферить можно любой траффик, но разобрать, что там содержится, можно не всегда и ssl этому весьма неплохо способствует. Т.е. веротятность mitm в случае ssl очень мала, если нет ошибок в библиотеке, реализующей протокол.
JSergRu
..ιilliιlιiιliιllilιι..
попробовал зайти чуть с другой стороны, набрал в гугле украли деньги с яндекс кошелька (29K совпадений), там ведь тоже https и зачастую без промежуточных серверов (добавленных пользователем), хоть и не факт, что была атака MITM, но окончательно решил отказаться от лишнего посредника между мной и серверами с моими сайтами.