Как расшифровать HTTPS на стороне клиента

[dil]

А вот так: установить переменную окружения SSLKEYLOGFILE, указывающую на писабельный файл. Увидев эту переменную, Firefox и Chrome сами запишут в этот файл все ключи в открытом виде

Comments

[blacklion]

Но зачем, зачем эта фича в браузерах?!

[justy_tylor]

Это фича в библиотеке. Скорее всего, для упрощения отладки при рассмотрении багрепортов от пользователей браузеров. Можно скачать релиз, а не муторно собирать со своими DEBUG+TRACE. А что на одну дыру больше - так браузеры же, и так решето.

[dil]

Да это и не дыра вовсе. Вот как-то так: http://securityblogru.livejournal.com/126704.html?thread=1618160#t1618160

[justy_tylor]

Для реальной угрозы должно сойтись много обстоятельств. И здесь плохо то, что поведение тихо активизируется без установки стороннего программного обеспечения или изменения настроек самого браузера.

Про безопасность

[livejournal]

Пользователь beldmit сослался на вашу запись в записи « Про безопасность» в контексте: [...] ключи в открытом виде. Потом эти ключи можно скормить в Wireshark и получить расшифрованную сессию. [...]

[ex_leo_sosn]

Собссна, цель TLS в том, чтобы защищать данные в процессе передачи, на стороне клиента и на стороне сервера они и так расшифровываются, бай дизайн. Речь тут скорее о том, как эти расшифрованные данные дампить без лишнего гемора.

[dil]

Ну да, так оно и есть.

[huzhepidarasa]

Ай-ай, браузер знает мои секретики... Конечно, знает, я их сам в него вбивал вот этими вот пальчиками.

[dil]

Вы вбивали в браузер SSLные ключи вручную?!

[ocehb]

более того, на вопрос доверия сертификату сами говорили "ага".

[dil]

Ничего я не говорил, браузер сам его проверил и решил, что он валидный.

[arkanoid]

иии, оно эфемерные ключи тоже пишет?

[dil]

Фиг его знает, но записанных ключей wireshark'у хватает для расшифровки сессии..