id: Гость   вход   регистрация
текущее время 19:28 28/03/2024
Автор темы: Гость, тема открыта 07/02/2013 11:00 Печать
Категории: политика, законодательство, атаки, человек посередине
https://www.pgpru.com/Форум/Офф-топик/РостелекомПерехватываетHttpsЗапросыКСайтамИзРеестра
создать
просмотр
ссылки

Ростелеком перехватывает SSL запросы к блоченым сайтам


Собственно сабж. Проверить можно так. Если бы правильный сертификат, то было бы ещё красивей. Работает через любой прокси или напрямую (почему на пути лежит ростелеком для адреса из lv при доступе из de, кстати?)


 
На страницу: 1, 2, 3, 4 След.
Комментарии
— Гость (06/12/2014 20:41)   <#>

На эту тему старая шутка: Add Honest Achmed's root certificate
Honest Achmed's uncles may invite some of their friends to issue certificates as well, in particular their cousins Refik and Abdi or "RA" as they're known. Honest Achmed's uncles assure us that their RA can be trusted, apart from that one time when they lent them the keys to the car, but that was a one-off that won't happen again.
— Гость (06/12/2014 21:39)   <#>

Комменты веселящи. ☺
— Гость (06/12/2014 23:33)   <#>
Кабнэты в АТС по сей день на месте и никто особо не стесняется сего факта

Речь не о факте сотрудничества с "органами" (этим никого не удивишь), а о необходимости раскрыть информацию об УЦ, с которым установлена тайная договорённость (если таковое имеется).

> заявления о необходимости единого государственного УЦ, который должен быть установлен в системе

На эту тему старая шутка: Add Honest Achmed's root certificate

Имелось в виду другое – пользователям предлагается самим установить сертификат, о включении в связку от Мозиллы разговора не было (вряд ли Мозилла на это пойдёт).
— Гость (06/12/2014 23:46)   <#>

Ммм.. О каком сертификате идет речь? В последних страницах речь идет о MiTM и ssl/tls.
— Гость (07/12/2014 09:07)   <#>

О корневом сертификате УЦ, который используется (будет использоваться) напрямую или через цепочку промежуточных при создании фальшивых сертификатов в целях проведения фильтрации/слежки за пользователями.
— Гость (07/12/2014 11:08)   <#>
Например, кто-то верил в PKI и SSL, в его невзламываемость, но потом прочитал статью и понял, что всё плохо. Тем не менее, появилось решение — Certificate Patrol, ставим себе аддон к браузеру и проблем не знаем. Но потом оказывается, что /comment53401 и /comment52486, т.е. про посещаемые высоконагруженные сайты мы вообще не знаем, какие у них должны быть сертификаты (инициатива EFF по созданию БД провалилась окончательно?), а про остальные сайты... ну никто вам не выдаст отпечаток ключа, нет механизмов его доверенного получения, т.к. админам сайтов наплевать. В конце концов, разочаровавшись, вы хотите сделать хотя бы certificate pinning, но тут вдруг оказывается, что и это невозможно, надо делать специальный профиль браузера под конкретный сайт. А о чём вы думаете, когда видите замочек в строке адреса firefox? Вы верите в то, что HTTPS безопасен? :)
— Гость (07/12/2014 13:08)   <#>
Есть ощущение, что разговор уходит в непонятное русло.

Как вы себе представляете установку пользователем какого-то сертификата? Зачем это вообще нужно простому пользоваетлю? Он, этот пользователь, не представляет даже как функционирует ssl/tls. В лучшем случае, он знает что если в строке https то это защищенное соединение. Где хранятся сертификаты, какой тип сертификатов, кто их создает, кто их подписывает и т.д. все это темный лес для простого пользователя. И как такому пользователю "предложить самим установить сертификат".
— Гость (07/12/2014 14:25)   <#>
Как вы себе представляете установку пользователем какого-то сертификата?

Сертификат ставится несколькими кликами мыши. Даже картинок не надо, достаточно чего-нибудь вроде Preferences – Advanced – Ecryption – View Certificates – Authorities – Import.

Зачем это вообще нужно простому пользоваетлю?

Рассматривается гипотетическая ситуация, изложенная в comment84846. Прежде чем выдирать цитаты из контекста и задавать вопросы, сначала разберитесь в написанном.
— Гость (07/12/2014 14:33)   <#>

Гость отвечал на мой комментарий. Почему ж я не в курсе?
Ну а Вы же говорите о том, что пользователь должен сам себе установить "левый" сертификат или я неправильно вас понял? Зачем он это должен сделать? Почему? Вопрос не в простоте или сложности установки сертификата. НО зачем???
— Гость (08/12/2014 11:51)   <#>
Вопрос не в простоте или сложности установки сертификата

Т.е. уже не тёмный лес, как выше написали

Зачем он это должен сделать?

Например, чтобы атака была незаметной и не вызывала неудобств. Потом не все программы имеют кнопку "I understand the risk", некоторые отказываются соединяться с рeсурсом.

Подумалоась ещё о такой уловке. Обязательная установка государственного сертификата УЦ для доступа к государственным сервисам. Для защиты персональных данных и всё такое. Таким образом, левый сертификат появляется в связке клиента, им можно подписывать сертификаты
других (негосударственных) сайтов незаметно для пользователя.
— Гость (08/12/2014 12:32)   <#>

Чтобы не переходить на личности нужно учится абстрагироваться. Я лично не говорил про себя. Речь шла о простом пользователе, который не имеет представления о местонахождении сертификатов и способе их создания/подписания/установки. Мое представление о простом пользователе складывается из личного опыта общения с пользователями, мнение знакомых и мнения окружающих, в т.ч. размещенных в инете. Мое мнение не истина в последней инстанции. Вы можете иметь мнение отличное от моего.

Видимо это Вы и имели ввиду, когда говорили о самостоятельной установке сертификатов пользователем. Но здравый смысл и уровень подготовленности пользователей(имхо) говорит о том, что этим большая часть заморачиваться не будет.
— Гость (08/12/2014 13:55)   <#>


Напишут программу которая будет добавлять сертификат в хранилища chrome и firefox. Поскольку большая часть этих пользователей использует windows, то это будет exe-шник, который ещё и добавит сертификат в хранилище windows. Пользователю нужно будет лишь кликнуть один или пару раз, плюс подтверждение для UAC, и всё готово.
— unknown (11/12/2014 17:53)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Впрочем, да.
— Гость (28/12/2014 12:25)   <#>
Это законно со стороны провайдера подменять dns запосы к другому серверу?
Какого [CENSORED] они подменяют траффик между мной и гугловским днс сервером? Что они будут подменять завтра?
— Гость (31/12/2014 12:43)   <#>
у других появляется надпись «Ваше подключение не защищено».
Статистически заметное число пользователей подвергаются атакам со стороны своих провайдеров.
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3