Post Friends My journal
magistral77

Пост сетевой безпасности.

Nov 27, 2011 13:16

Оригинал взят у ratibor59 в Пост сетевой безпасности.


Read more... )

ликбез, компьютинг

Leave a comment

Comments 10

siraenuhlaalu November 27 2011, 09:41:22 UTC
Пиздец дилетантство. Для перехвата трафика, зашифрованного по SSL достаточно поставить машину посередине и шифровать трафик от клиента сертификатом, подписанным любым удостоверяющим центром. Более подробно в firefox : edit->preferences->advanced, вкладка encryption->view certificates, вкладка authorities.
Так вот, если сертификат для домена gmail.com подписан любым из указанных там удостоверяющих центров, он будет считаться действующим. Таким образом, для перехвата трафика достаточно подписать абсолютно любой сертификат с полем cn=gmail cn=com и подставлять его клиенту на прозрачном прокси.

Reply

magistral77 November 27 2011, 09:43:56 UTC
Практические примеры такого уже встречались?

Reply

siraenuhlaalu November 27 2011, 10:02:43 UTC
есть целый рынок подобных устройств: http://malaya-zemlya.livejournal.com/679679.html сомневаюсь, что у нас в 16 центре нет подобных.

Reply

magistral77 November 27 2011, 10:04:22 UTC
пиздец

Reply

Thread 7
siraenuhlaalu November 27 2011, 10:44:45 UTC
кстати, у большинства из этих VPN-сервисов ключи передаются в открытом виде, а у клиента присутствует та же проблема с MITM, поскольку применяется аналогичная модель аутентификации.

Reply

magistral77 November 27 2011, 10:51:45 UTC
Какие альтернативы?

Reply

siraenuhlaalu November 27 2011, 12:45:12 UTC
Вот этот вопрос куда интереснее, поскольку в первую очередь следует грамотно оценивать риски и модель нарушителя ( ... )

Reply

Leave a comment

Up
Homepage Read journal... Full version Help Русская версия
© 1999-2024 LiveJournal, Inc.