id: Гость   вход   регистрация
текущее время 23:43 28/03/2024
Автор темы: unknown, тема открыта 30/11/2007 23:10 Печать
Категории: сайт проекта
https://www.pgpru.com/Форум/Содействие/ПроблемаНеполнотыSSLНаСайтеWwwpgprucomИPetnameДляFirefox-решено
создать
просмотр
ссылки

Проблема неполноты SSL на сайте www.pgpru.com и petname для Firefox – [решено]


Большинство серьёзных проектов используют SSL-хостинг, а для сохранения доступа к аккаунту через сеть tor он просто необходим, иначе его просто угонят с исходящего узла.
Впрочем и без сети tor пароль в открытом виде проходит через кучу узлов, а значит через кого попало.


К счастью, pgpru.com перешёл на такой защищённый хостинг, хотя это затратно и тяжело для небольшого некоммерческого проекта.


Но по понятным причинам (например для компенсации тех же затрат на хостинг) на сайте крутятся баннеры, Но эти же баннеры не дают покоя в том смысле, что даже если их полностью
заблокировать, браузер будет получать смешанный контент, как защищённый так и нет (http + https).


При этом он не будет его подробно различать по степени защищённости, а просто посчитает не всю страницу защищённый, выведет битый значёк SSL и предупреждение "Broken https".


Злоумышленник, находящийся посредине, может произвольно менять соотношение между защищённым и незащищённым контентом, оставаясь незамеченным (если не разбирать полученный браузером исходный код страницы), например модифицировав отдаваемую страницу так что поле ввода пароля пойдёт через простой http, а декоративные элементы страницы отдавать через https.


Пользователь конечно может заблокировать http://www.pgpru.com и разрешить только https://www.pgpru.com, чтобы избавиться от возможной подмены, но это неполноценное решение, так как всё равно получим битую страницу и видимость защиты.


Кстати существует простой плагин к Firefox – petname. Вот какую задачу он решает.


Пусть мы не доверяем центрам сертификации, пусть корневой сертификат будет похищен, пусть даже центр сертификации сдаст свои ключи полиции, чтобы она могла организовать подставной сайт, чтобы отслеживать соединения пользователя (полиция – это самый опасный злоумышленник :-) ). Но если не похищен сертификат самого сайта, то браузер будет показывать правильное соединение для другого (подставного) сайта, заверенное корневым сертификатом, хотя отпечаток сертификата сайта и будет отображаться другой.


Другая проблема – если пользоваться самоподписанными сертификатами, а также что один корневой сертификат может быть использован для подписи сертификата другого сайта, если раздатчик сертификатов это позволяет по неосторожности или по умыслу.


Заметить это трудно, Не сверять же каждый раз отпечатки по бумажке. Для в этого в плагине petname проблема решена самым простым и изящным способом: каждому посещённому SSL-сайту при первом заходе прелагается сопоставить его хэш-отпечаток с некоторым кратким названием-кличкой. Если при последующем заходе [кличка]-[url]-[отпечаток сертификата] совпадут -получим
зелёный значок, иначе предупреждение о смене сертификата, но и подмену url можно заметить по не той "кличке" рядом с адресной строкой.


Клички сайтов и хэши сертификатов (сверяется и md5 и sha) хранятся в закладках, так что ими легко обмениваться.


А вот с https://www.pgpru.com это не работает из-за тех же баннеров. Получаем статус untrusted.


Решение может быть в том, чтобы пропускать все баннеры через https://, такое можно теоретически сделать на отдельном сервере, но решать такую задачу на виртуальном хостинге это конечно изврат. С другой стороны, SSL тоже должен быть полноценным, а не для показухи.
Какие мнения?



 
На страницу: 1, 2, 3, 4 След.
Комментарии
— Гость (12/02/2009 22:49)   <#>
То есть решено, что petname в Firefox3 не использует отпечатки сертификатов?
— SATtva (13/02/2009 14:33)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Гость (12/02/2009 22:49), похоже на то. А разработчик на странице расширения что-нибудь об этом упоминает? Может быть баг?
— Гость (13/02/2009 23:06)   <#>
Кажется, не упоминает. Если на то пошло, не помню, чтобы автор когда-нибудь что-то писал об отпечатках сертификатов. Надо бы у него спросить...
— poptalk (15/02/2009 03:03)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
Я написал о сертификатах в список рассылки: https://www.mozdev.org/mailman/listinfo/petname
— Гость (15/02/2009 04:00)   <#>
Спасибо. Правда на мой взгляд Вы были чересчур суровы: "Ко мне поступают сообщения, что petname не проверяет сертификаты..." :-)

Tyler Close уже ответил. Не мог бы кто-то кратко перевести суть? Дело в том, что убрали API, или нет?
— poptalk (15/02/2009 04:24)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
Привет, poptalk.

Приспосабливая Petname Tool к Firefox 3, я изменил алгоритм привязки кликухи к сайту в соответствии с исследованием Collin Jackson-а относительно различения источников. См.: "Origin Granularity"

В исследовании Collin сообщает, что политика броузера такова: страницы, имеющие одинаковый источник (origin) (URL scheme, имя хоста, номер порта), могут свободно читать и записывать друг в друга. Таким образом, уровень доверия к страницам с одинаковыми источниками и разными сертификатами тоже одинаков. Поэтому Petname Tool привязывает кликуху к источнику, а не к сертификату. К сожалению, сертификаты не задают границ доверия в броузере, только источники задают.

Если вы хотите проверять сертификат, то следует удалить все сертификаты CA из броузера и использовать the certificate pinning UI, включенный в Firefox 3. Тогда броузер позволит использовать для named origin только pinned certificate. Так как Petname Tool привязывает кликуху к источнику, получится твердая привязка кликухи к сертификату.

Это всё, что я могу сделать с учетом текущей модели безопасности броузера.

--Tyler
— SATtva (15/02/2009 17:56)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
poptalk, спасибо.
— Гость (15/02/2009 18:49)   <#>
А что значит "страницы, имеющие одинаковый источник (origin) (URL scheme, имя хоста, номер порта), могут свободно читать и записывать друг в друга"?
— SATtva (15/02/2009 19:03)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Если js-код загружен из источника https://somesite.com:443, то он может производить активные изменения (через DOM) в документах, загруженных из того же источника, но не из http://www.othersite.ru:80. То есть разделение доверия производится по источнику, но не по SSL-сертификатам.
— Гость (15/02/2009 20:03)   <#>
А нет ли у Вас примера кода, SATtva? Не знаком с JS сколько-нибудь хорошо, но, кажется, он не должен иметь возможности изменить что-то за пределами собственного документа.
— poptalk (15/02/2009 23:31)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
Не знаком с JS сколько-нибудь хорошо, но, кажется, он не должен иметь возможности изменить что-то за пределами собственного документа.

Вышеуказанный документ не говорит, к каким броузерам это относится, но ясно сказано "read and modify (i.e., control completely) another document", то есть "читать и изменять (то есть полностью контролировать) другой документ". Ждём заплаток. Как бы включать в origin еще и SSL-сертификат никому вроде мешать не должно.
— SATtva (16/02/2009 12:34)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Писать в баг-тракер Мозиллы.
— Гость (20/02/2009 16:08)   <#>
Развивая тему смешанного контента. Стоило лишь Мокси Марлинспайку миксануть, для слета черных вязанных шапочек (filehttp://blackhat.com/presentati.....ke-Defeating-SSL.pdf) парочку известных в прошлом трюков против пользователей (подойдя к этому творчески, однако), как пресса (чуть более светлых цветов и без шапочек) назначила SSL'у маленькую пушистую северную лисицу в награду.

Он всего-то взял за аксиому наличие смешанного контента, когда доступ к странице с безопасным логином производится (для пользователя) с обычной страницы полученной по незащищенному каналу, через чудеса веб технологий или просто по ссылке. Немного фокусов с иконками для сайта. Или немного игры с сертификатами для интернациональных доменов, для пущей убедительности. И вот он какой эффект, для широких слоев народонаселения. Вот она сила смешанного контента.
— DDRTL (11/07/2009 22:18)   профиль/связь   <#>
комментариев: 212   документов: 27   редакций: 20
Ну вот 13 числа и сменится сертификат безопасности....
В 12 часов 21 минуту 58 секунд он истекает в понедельник..
— poptalk (19/07/2009 06:16)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
Проблема неполноты SSL опять открыта:
http://www.pgpru.com/themes/plastiq/icons/file.gif
http://www.pgpru.com/themes/plastiq/icons/web.gif
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3