Comments | securityblogru: Как расшифровать HTTPS на стороне клиента

dil in securityblogru

Как расшифровать HTTPS на стороне клиента

Aug 23, 2013 18:46

А вот так: установить переменную окружения SSLKEYLOGFILE, указывающую на писабельный файл. Увидев эту переменную, Firefox и Chrome сами запишут в этот файл все ключи в открытом виде ( Read more... )

ssl, криптография

Leave a comment

Back to all threads

blacklion August 23 2013, 18:19:25 UTC

Но зачем, зачем эта фича в браузерах?!

justy_tylor August 23 2013, 19:20:16 UTC

Это фича в библиотеке. Скорее всего, для упрощения отладки при рассмотрении багрепортов от пользователей браузеров. Можно скачать релиз, а не муторно собирать со своими DEBUG+TRACE. А что на одну дыру больше - так браузеры же, и так решето.

dil August 24 2013, 10:14:55 UTC

Да это и не дыра вовсе. Вот как-то так: http://securityblogru.livejournal.com/126704.html?thread=1618160#t1618160

justy_tylor August 24 2013, 12:26:24 UTC

Для реальной угрозы должно сойтись много обстоятельств. И здесь плохо то, что поведение тихо активизируется без установки стороннего программного обеспечения или изменения настроек самого браузера.

dil August 24 2013, 13:15:07 UTC

Да у многих программ поведение меняется в зависимости от установки переменных окружения. Вот хоть взять общесистемные настройки проксирования, которые устанавливаются через переменную http_proxy. Её многие программы используют. И это не баг, это фича.

justy_tylor August 24 2013, 13:37:34 UTC

В продукте, документировано - фича.
В либе, народное знание - дыра.

dil August 24 2013, 16:15:54 UTC

Ну, типа, вот оно документировано: https://developer.mozilla.org/en-US/docs/NSS_reference/NSS_environment_variables

justy_tylor August 24 2013, 16:23:41 UTC

Это описание внутренностей библиотеки, а не документация продуктов Chrome и Firefox.

dil August 24 2013, 20:05:24 UTC

В man wget слова http_proxy тоже нет. И что, возможность перенаправить его запрос в прокси-сервер путём установки соответствующей переменной надо считать дырой?

justy_tylor August 24 2013, 20:28:56 UTC

"The standard way to specify proxy location, which Wget recognizes, is using the following environment variables: ..."
http://www.gnu.org/software/wget/manual/html_node/Proxies.html

dil August 24 2013, 23:56:55 UTC

А в линуксовом мане такого слова нет..

huzhepidarasa August 25 2013, 06:58:15 UTC

В линуксовом мане также написано: This is not the complete manual for GNU Wget. For more complete information, including more detailed explanations of some of the options, and a number of commands available for use with .wgetrc files and the -e option, see the GNU Info entry for wget.

Back to all threads

Leave a comment