Провайдеры+SSL
Типичная ситуация: мы клиент, подключаемся браузером к сайту и принимаем SSL сертификат, и работаем.
Казалось бы наше общение с этим сайтом защищено.
Вопроc: ведь провайдеру всеравно на это шифрование, и при желании он может все просмотреть т.к. все ключи прошли через него?
комментариев: 9796 документов: 488 редакций: 5664
Это конечно не про SSL, но может поможет. Или в чём вопрос?
Хотелось бы разобраться в этом. Т.е. что это дает пользователю на самом деле и при каких условиях.
комментариев: 11558 документов: 1036 редакций: 4118
Во мы людей запугали! :) SSL-соединение создаёт защищённый тоннель от Вашего браузера до целевого сервера. Для предотвращения MITM удалённая сторона аутентифицируется по сертификату X.509, обычно заверенному одним из удостоверяющих центров, доверяемым браузером. Вот отсюда начинается волшебство. Все УЦ равны, и сам по себе браузер не отличит один заверенный сертификат от другого, так что, теоретически, "человек посередине" способен выдать свой поддельный сертификат за действительный, если сумеет получить для него удостоверяющую подпись от любого УЦ. (С EV-сертификатами, какой использует тот же Paypal, ситуация чуть сложнее, но принципильно не отличается.)
В итоге, всё зависит от того, способны ли Вы обнаружить несанкционированную подмену. Для Firefox есть расширение Certificate Patrol, упрощающее эту задачу.
Ну и подумайте, есть ли у Вас такой противник, который будет возиться с подобной грязной работой. Это не та атака, какую будет проводить провайдер просто любопытства ради против всех своих клиентов.
Насколько можно в данном случаи можно положиться на SSL?
Это нам гарантирует что мы работает именно с тем с кем соединяемся и шифрует траффик. Это все хорошо.
Но прочитав тут цитаты с Хабры о том что все это фигня и на самом деле ничего не дает, а трафик в итоге все равно могут расшифровать становится не по себе.
комментариев: 11558 документов: 1036 редакций: 4118
Не читайте за обедом большевистских газет. ©
Можно ссылочку?
Как же это они траффик без сертификата смогут расшифровать.
комментариев: 11558 документов: 1036 редакций: 4118
Хотя SSL это только протокол, в рамках которого можно работать и с нулевым шифром, т.е. без защиты. Или как в случае с гуголом, соблюсти видимость приличия и использовать как бы шифр RC4. Всё зависит от настроек, если первое можно исправить у клиента (по умолчания браузерам запрещено), то второе только отказавшись от контактов с серверами гугла.
Ведь наверняка им интересно знать что именно передавалось, а не только наличие самого общения браузера с сервером.
Из ответом выше я так понимаю можно сделать вывод что SSL соединению можно доверять если отбросить возможность подмены сертификата.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 11558 документов: 1036 редакций: 4118
СОРМ — не MITM-система. На криптографическом жаргоне, это Ева, а не Мэллори: снимать с канала необходимый трафик может, а проводить активные атаки (модифицировать трафик) — нет.
Верно.
комментариев: 11558 документов: 1036 редакций: 4118
Отключите в настройках браузера протокол RC4, и коннект с гуглом будет по AES.