The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Chrome 63 появятся средства информирования о попытках перехвата HTTPS

10.09.2017 10:28

В кодовую базу Chromium 63 принято изменение с реализацией техники выявления попыток перехвата трафика HTTPS, в результате активности вредоносного ПО или MITM-прокси. В качестве признака для вывода предупреждения используется аномально большое число ошибок SSL-соединений для разных сайтов за короткий промежуток времени, т.е. метод выявляет факты грубой подмены, в результате которой возникают ошибки SSL и соединение помечается как небезопасное.

Основное отличие от предупреждения о небезопасном соединении заключается в том, что пользователь информируется о возможной локальной MITM-атаке, которая не связана с проблемами настройки HTTPS на конкретном внешнем сайте. Метод уже доступен для тестирования в Chrome Canary и активируется при запуске браузера с параметром "--enable-features=MITMSoftwareInterstitial"

Предупреждение не коснётся техники незаметной подмены HTTPS-сертификатов, которая практикуется некоторым антивирусным ПО, корпоративными межсетевыми экранами и системами инспектирования трафика. Подобное ПО перехватывает HTTPS-обращение клиента, затем от своего лица и с собственным сертификатом транслируют HTTPS-запрос на сервер, получают ответ и отдают его клиенту в рамках отдельного HTTPS-соединения, установленного с использованием SSL-сертификата перехватывающей системы. Для сохранения индикатора защищённого соединения в браузере на машины клиента устанавливается дополнительный корневой сертификат, позволяющий скрыть работу применяемой системы инспектирования трафика.

  1. Главная ссылка к новости (https://twitter.com/sashaperig...)
  2. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
  3. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
  4. OpenNews: Новая техника атаки на SSL/TLS, которой подвержены 33% HTTPS-сайтов
  5. OpenNews: В устройствах Dell выявлен корневой сертификат, позволяющий перехватывать HTTPS
  6. OpenNews: Lenovo уличили в предустановке ПО, подменяющего сертификаты для HTTPS
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47169-mitm
Ключевые слова: mitm, chorme
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (89) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, LU (?), 11:31, 10/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Почему заголовки новостей именно про Хром, а не Хромиум?
     
     
  • 2.41, ТТТ (?), 09:49, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А почему бы и нет? Кто, по вашему, разрабатывает Хром и вообще оплачивает все это добро?
     
     
  • 3.42, Dmitry77 (ok), 10:55, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вообще-то этот сайт посвящен опенсорсному ПО. А програмные компоненты хрома разрабатывает множество компаний.
     
     
  • 4.50, Аноним (-), 21:54, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Так Хромиум "сообщество" разрабатывает? А я думал, это гуглопроект.
     

  • 1.2, Ilya Indigo (ok), 11:33, 10/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Последний абзац аж в дрожь кидает.
    И кто-то эти зонды покупает, устанавливает и думает, что он защищён?
     
     
  • 2.3, bircoph (ok), 12:24, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Любая банковская или околобанковская структура, например.
    Там принято считать, что зондирование сотрудников повышает безопасность.
     
     
  • 3.6, user (??), 13:10, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ещё одна причина не смешивать личное и рабочее.
     
  • 3.11, sasiska (ok), 14:02, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Если банк следует PCI DSS, то он обязан всё это ставить

    Интересно, а как эта штука будет себя вести с ссл бамп в сквиде, и можно ли будет отключить предупреждение в ГПО хрома

     
     
  • 4.38, feequs (?), 06:58, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ерунду пишете, или пруф в студию
     
  • 4.48, Аноним (-), 16:48, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Номер параграфа в студию.
     
  • 2.14, пох (?), 14:05, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • –7 +/
    малыш, ты так и не научился работать на работе, а не груши околачивать в корпор... большой текст свёрнут, показать
     
     
  • 3.17, user (??), 14:43, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    По моему опыту, у программистов под линуксом обычно админский доступ к локалхосту.
     
     
  • 4.20, пох (?), 17:05, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    по моему опыту, у программистов под линуксом обычно _крайне_ хреновые админские ... большой текст свёрнут, показать
     
     
  • 5.35, key (??), 21:05, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ЧТО? У линя как раз все чудесно с правами в тч из коробки.
    У нас под рутами никто не работает, разве что на совсем девеловских машинах, ну и права раздают пара особо опытных админов. В обычной ситуации всем хватает заранее установленных разрешений, если нужно что то выходящее за рамки то в рабочее время всегда можно попросить.
    Офк никаких ssh червей не замечено, а изменения доступа(например добавление пользователя) сигнализируется. С этим все довольно строго как раз.
    И это явно не троллейбус из буханки, как миниум по сравнению с виндами.
    Что касается "учредить у себя локальную копию даже на поиграть - не могут", то !@#$%^&* это программисты, но если от этого зависит жизнь Зиона, то можно поднять виртуалку и выдать любые права на ней.
     
     
  • 6.52, пох (?), 23:12, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    речь шла о правах на свой ноут или что у вас там За право не показывать никому ... большой текст свёрнут, показать
     
     
  • 7.55, Аноним (-), 23:24, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Понимаешь, весь AD всего лишь имитация. В буклетиках про это не написали, да и на курсах ms
    это редко рассказывают. Зачем же портить себе продажи? Продажи уверенности - выгодный бизнес, а то что эта уверенность на песке - уточнять не обязательно.
     
     
  • 8.68, пох (?), 12:43, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    понимаю, по теме тебе сказать нечего Продолжай рассказывать сказки о том, как у... текст свёрнут, показать
     
     
  • 9.73, Аноним (-), 17:52, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Я один из тех кто более-менее разобрался как это работает Не в буклетиках а реа... текст свёрнут, показать
     
     
  • 10.93, пох (?), 23:59, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    одна проблема - когда ты работу работать-то собираешься, с таким плотным графико... большой текст свёрнут, показать
     
  • 5.86, Pofigist (?), 12:28, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот 100500 увы Ибо любая настройка линакса начинается с vi etc selinux config... большой текст свёрнут, показать
     
     
  • 6.90, пох (?), 16:30, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ну а чего ты хочешь, если вот, шестой центос sshd пытается пытался, к 6 8 поп... большой текст свёрнут, показать
     
     
  • 7.91, Pofigist (?), 16:48, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Аминь.
    Если етно - не вижу никакого выхода из этой ситуации, ну кроме как SELINUX=disabled
     
  • 3.19, сверху донизу все рабы (?), 16:01, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Wage slave закукарекал.
     
     
  • 4.22, пох (?), 17:27, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Wage slave закукарекал.

    дружище "свободный" - а вот ты рискнешь отнести свои деньги, скажем, банчку, у которого "программисты руты" ?
    Они ж все честнейшие люди, и ни один из них не выяснил вчера, что у его папани онкологическая болячка, на которую даже денег от продажи квартиры не хватит?

    Или вон, даже и не банчку, а, скажем, сотовому оператору - сдавать свои паспортные данные, помимо того, что он о тебе согласно новым-модным законам будет обязан хранить? (именно так утекла база абонентов МТС. Причем, что смешно - не в самой МТС, там в те годы чоткие пацанчики рулили, местные-то и пернуть слишком громко боялись, да и ценность этой базы была на фоне их зарплат не заоблачной.)

     
     
  • 5.25, Аноним (-), 17:48, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так и вижу табличку прибитую гвоздямина двери банка "Наши честные программисты имеют рут"...
    Что же касается баз и причин почему утекают, так страна бедная.. ну уж.. и спецслужбы, и банки, и опсосы, и медики.. вообщем все что есть на дисках в рынках, все работнички от бедности.
     
     
  • 6.28, пох (?), 18:23, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Так и вижу табличку прибитую гвоздямина двери банка "Наши честные программисты имеют
    > рут"...

    табличка называется "лицензия ЦБ #...". Если она еще не отобрана - значит, формальные тесты выполнены и обновляются в срок.

    А вот с платежными системами все гораздо интереснее, попадалось, хм... разное.

    > Что же касается баз и причин почему утекают, так страна бедная..

    В случае конкретно с МТС - там, говорят, пацаны, приехавшие на разбор, как увидели этих программистов (а вопрос, собственно, уже был сведен к "который вот из этой дюжины", оставалось поломать пару пальчиков для уточнения) - в комнатенку зашли, глянули, поморщились и даже разговаривать с ними не стали, типа, а чего с этих-то взять... вы б еще зарплату переносить - бомжей с бульвара позвали.

     
  • 6.31, user (??), 19:23, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    рут банка и рут локалхоста - это две большие разницы
     
     
  • 7.32, пох (?), 19:31, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > рут банка и рут локалхоста - это две большие разницы

    когда у тебя этот локалхост в банке - от одного до второго - один троянец, стянувший у горе-рута пароль. А дешифровать его траффик мы ж не будем, мы ж верим джентльмену на слово.
    А раз ты пока даже этого не понимаешь - разговаривать с тобой в общем не о чем.

     
     
  • 8.34, vtg63egf63ug (?), 20:41, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Как стянуть то, чего нет на локалхосте Закоммитить какую-нибудь гадость ... текст свёрнут, показать
     
     
  • 9.37, пох (?), 00:57, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    разьве что в идеальном случае, типа мной описанного - когда эти гордые руты лока... текст свёрнут, показать
     
  • 8.63, Алкоголик Анонимный (?), 06:27, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь посчитаем до двух Троянцев И спросим, точно ли их больше одного У по... текст свёрнут, показать
     
  • 5.46, J.L. (?), 15:22, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > дружище "свободный" - а вот ты рискнешь отнести свои деньги, скажем, банчку,
    > у которого "программисты руты" ?
    > Они ж все честнейшие люди, и ни один из них не выяснил
    > вчера, что у его папани онкологическая болячка, на которую даже денег
    > от продажи квартиры не хватит?

    я б посмотрел на тот банк у которого "программисты руты" имеют доступ к боевым базам и боевым ключам
    (тот вопрос что "программисты НЕ руты" имеют такой доступ - опустим, к руту это не относится)

     
     
  • 6.47, пох (?), 15:36, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > тот вопрос что "программисты НЕ руты" имеют такой доступ - опустим, к руту это не
    > относится

    зато прямо относится к моему вопросу- готовы ли вы не то что свои деньги положить в банк, где какие-то люди числом легион имеют доступ к процессингу, компьютеры этих людей их собственные и они героически победили на них слежку, а хотя бы банально платеж на существенную для вас сумму через такое проводить?

    Я вот, увы, нет.

    Человеческая честность гарантируется только неотвратимостью поимки и последующей порки.

     
     
  • 7.54, Аноним (-), 23:19, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Я готов положить мои деньги в биткоин. Процессинг делают вообще все, а то что там нет таких как ты - это вообще не баг а жирнаая фича. Так что ни одна сволочь не сможет мне указывать что делать с МОИМИ деньгами и отобрать их у меня по своему усмотрению.
     
     
  • 8.94, пох (?), 00:05, 15/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    только что китайская биржа это сделала, хехехехе ... текст свёрнут, показать
     
  • 7.64, Алкоголик Анонимный (?), 06:40, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > зато прямо относится к моему вопросу- готовы ли вы не то что
    > свои деньги положить в банк, где какие-то люди числом легион имеют
    > доступ к процессингу, компьютеры этих людей их собственные и они героически
    > победили на них слежку

    В общем-то "доступ к процессингу" имеют по меньшей мере все. Клиенты... Растяжимое понятие...

     
     
  • 8.95, пох (?), 00:12, 15/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ничего растяжимого - достаточно того, чтобы этот доступ, вот ровно обычный клиен... текст свёрнут, показать
     
  • 6.74, Avator (ok), 18:02, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Сбербанк например.
    Я там это наблюдал и даже участвовал.
    Когда  все под одной учеткой (админской) ходили на боевые сервера системы которая считала деньги клиентов (т.е. она была хранилищем мастер данных по счетам)
    Такой же доступ был к БД.

    И никакой ЦБ у них естественно лицензии не отнимал.
    Как бы это товарищ "пох" не рассказывал.
    ЦБ в первую очередь проверяет финансовую чистоту банка. Не уверен может ли ИТ команда сделать что-то такое чтобы банк потерял лицензию.

     
     
  • 7.75, пох (?), 20:48, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вы дочитать-то дальше первых знакомых буковок умеете с личных ноутбуков, неподк... большой текст свёрнут, показать
     
     
  • 8.81, masterdilly (?), 14:27, 13/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну я просто плачу от смеха Кукареку Проодмины собрались Значит так Банк ... текст свёрнут, показать
     
     
  • 9.82, пох (?), 17:32, 13/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    банки - оне сильно разные бывают Что в том же сбере творится - для меня загадка... большой текст свёрнут, показать
     
     
  • 10.84, masterdilly (?), 18:48, 13/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    написано же Любимым разрабам - всё, чё нада И рута и инет, только вот к нутр... текст свёрнут, показать
     
     
  • 11.92, пох (?), 23:37, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    с песочницей тоже могет неожиданно выйти фейл - я ж рассказывал про базу абонент... большой текст свёрнут, показать
     
  • 3.53, Аноним (-), 23:18, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Надеюсь, это объясняет почему все больше умных людей предпочитают фриланс и т п ... большой текст свёрнут, показать
     
     
  • 4.69, пох (?), 13:22, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    остается только понять, кому они впаривают продукты своего итп И на что при это... большой текст свёрнут, показать
     
     
  • 5.78, Аноним (-), 00:47, 13/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Что умеют и на что есть спрос - то и впаривают Рынок На то что заработали, вес... большой текст свёрнут, показать
     
     
  • 6.83, пох (?), 18:22, 13/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    понятно То есть лично ты об этом не в курсе На рынке сейчас спрос в основном н... большой текст свёрнут, показать
     
     
  • 7.99, Аноним (-), 22:18, 15/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Расписываться за всех фрилансеров не моя прерогатива Лет через 10-20 поговорим ... большой текст свёрнут, показать
     
     
  • 8.101, Аноним (-), 11:55, 16/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну давай уже рассказывай до конца Расскажи трудовую биографию и примерный поряд... текст свёрнут, показать
     
  • 4.87, Pofigist (?), 12:42, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    CCNA это не админ - это помошник админа, ассисент, анукей короче Что собственно... большой текст свёрнут, показать
     
     
  • 5.96, пох (?), 00:36, 15/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    не совсем ccna это эникей с претензией, иначе незачем было и браться Зарплата ... большой текст свёрнут, показать
     
     
  • 6.98, Аноним (-), 17:42, 15/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А люди, получившие ccna, действительно
    > иногда отращивают гонора не по умению. Но обламываются, узнав сколько таким
    > на самом деле платят там, где вообще смотрят на эту бумажку.

    О. А сколько платят примерно?

     
  • 2.27, Нэйм (?), 18:22, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    да я так думал лет 5 назад и устанавливал их ;) почти все из них.
     
  • 2.40, freehck (ok), 09:09, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Последний абзац аж в дрожь кидает.
    > И кто-то эти зонды покупает, устанавливает и думает, что он защищён?

    Ты не поверишь, но таки да. В корпорациях принято следить за пользователем вплоть до расшифровки SSL-траффика. Когда у нас такое вводили, я рогами упёрся и для меня сделали исключение, но как оказалось, большинству пофиг, что за ними установлена тотальная слежка.

    PS: А ещё всякие Касперские и прочие антивирусы таким занимаются. И таки да, люди ставят этих троянов ради большей безопасности, ага. :)

     
     
  • 3.56, Аноним (-), 23:32, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Кому реально не пофиг - просто не идут в такие места. Зарубить ситуацию на уровне фака вынутого из кармана - намного результативнее чем вилять обходя подлянки и ограничения. Вынутый из кармана фак - волшебная палочка, пролечивающая любую степень борзоты.
     
     
  • 4.65, Алкоголик Анонимный (?), 07:02, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Кому реально не пофиг - просто не идут в такие места.

    Э? А в чём собственно дело? Если рабочее место вам не принадлежит... А принадлежит фирме. И вы там должны заниматься не личными проблемами...

     
     
  • 5.66, Алкоголик Анонимный (?), 07:14, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно, с другой стороны, сертификаты, удостоверяющие третью фирму, как-то представленную в Инете, но подделываемые без её ведома вашей - вот это уже может быть поводом...
     
     
  • 6.71, пох (?), 13:34, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Конечно, с другой стороны, сертификаты, удостоверяющие третью фирму, как-то
    > представленную в Инете, но подделываемые без её ведома вашей - вот это

    что значит "подделываемые" ? Никто ничего не подделывает - вот сертификат, подтверждающий что оборудование на бордере твоей конторы считает что этот сайт действительно тот, за кого себя выдает. (оно так считает на основании изучения его собственного сертификата, подписанного CA, но тебе эти мелочи не должны быть особенно интересны, это не твоя забота - и не твоя ответственность, если вдруг чего, что, кстати, тоже удобно)

     
  • 4.70, пох (?), 13:31, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Кому реально не пофиг - просто не идут в такие места.

    куда, куда они идут, вот в чем вопрос? Пилить бесплатно опенсорс для улучшения мира во всем мире? А когда мама перестанет оплачивать съемную квартиру и скажет "сынок, мы тебя уже вырастили, теперь ты нам должен помогать"?

    (хотя, глядя на свою тетку, оплачивающую уже и внука - при том что саму уже ноги реально не держат, и муж такой же еле-ползающий старик, эта музыка будет вечной. Ага, дети - "аутсорсеры". Жаль что мне не настолько повезло с родителями.)

    > Зарубить ситуацию на уровне фака вынутого из кармана - намного результативнее

    но потом будешь сосать этот самый фак, ага.

     
     
  • 5.79, Аноним (-), 01:24, 13/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Самые крутые, креативные и удачливые - в стартаперы А так каждый крутится как у... большой текст свёрнут, показать
     
     
  • 6.89, пох (?), 13:33, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это ваши влажные мечты ну да, я механику кручения со сдачей бабушкиной кварти... большой текст свёрнут, показать
     
     
  • 7.100, Аноним (-), 23:46, 15/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ничто не херит перспективы так как отсутствие амбиций, чудак Я знаю народ без... большой текст свёрнут, показать
     

  • 1.4, iZEN (ok), 12:32, 10/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Для Firefox что-то подобное реализовано?
     
     
  • 2.5, wert (??), 13:03, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    https://checkmyhttps.net/
     
     
  • 3.7, th3m3 (ok), 13:10, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В Firefox 57 не отвалится?
     
  • 2.26, Аноним (-), 17:53, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    HTTPS Everywhere не кашерный? Уж 100 лет в обед будет, как существует..
     

  • 1.8, Аноним (-), 13:32, 10/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как же теперь антивирусы будут в АНБ отправлять инфу? Тот же кашперский устанавливает свой серт и шлёт хз что и хз куда
     
     
  • 2.12, sasiska (ok), 14:03, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как же теперь антивирусы будут в АНБ отправлять инфу? Тот же кашперский
    > устанавливает свой серт и шлёт хз что и хз куда

    да они почти всё ставят свои сертификаты, помимо доверенного СА, 90% антивирусов ещё и подменяют драйвера клавиатуры/мыши

     
     
  • 3.57, Аноним (-), 23:44, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > да они почти всё ставят свои сертификаты, помимо доверенного СА, 90% антивирусов
    > ещё и подменяют драйвера клавиатуры/мыши

    Технически, каспер - крутой руткит, делающий takeover половины системы, с аргументом что вирье его выпереть не должно. И хотя это так, все определяется тем на кого супер-руткит работает. В рекламе все это затевается якобы для пользователя. Но поскольку спертые данные отсылаются не пользователю, а на какой-то там сервер какого-то там касперского, откуда и обновления качаются, а исходники тебе не покажут... догадайся что из этого следует.

     

  • 1.9, Андрей (??), 13:40, 10/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Подобное ПО перехватывает HTTPS-обращение клиента, затем от своего лица и с собственным сертификатом

    HSTS pinning, вроде, для того чтобы такое не прошло, т.к. проверяется, а тем же самым удостоверяющим органом подписан сертификат.

     
     
  • 2.21, Аноним (-), 17:25, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Для локально установленных корневых сертификатов HSTS автоматом отключается в большинстве современных браузеров.
     

  • 1.10, Аноним (-), 13:40, 10/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Непонятно от кого ж "защита", если это "не коснётся техники незаметной подмены HTTPS-сертификатов, которая практикуется некоторым антивирусным ПО, корпоративными межсетевыми экранами и системами инспектирования трафика."
     
     
  • 2.13, sasiska (ok), 14:05, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Непонятно от кого ж "защита", если это "не коснётся техники незаметной подмены
    > HTTPS-сертификатов, которая практикуется некоторым антивирусным ПО, корпоративными
    > межсетевыми экранами и системами инспектирования трафика."

    Ну как для кого, что бы люди не ставили бесплатный squid с icap до dlp, а покупали платного блюкота, очевидно же :3

     
     
  • 3.15, пох (?), 14:10, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну как для кого, что бы люди не ставили бесплатный squid с
    > icap до dlp, а покупали платного блюкота, очевидно же :3

    а-а, вот от кого "множественные ошибки ssl"... па-а-анятна, маладца гугль, все правильно сделал.


     

  • 1.16, Sw00p aka Jerom (?), 14:21, 10/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >>Для сохранения индикатора защищённого соединения в браузере на машины клиента устанавливается дополнительный корневой сертификат, позволяющий скрыть работу применяемой системы инспектирования трафика.

    эт называется борьба с митмом ? чё за двойные стандарты ?

     
     
  • 2.23, Аноним (-), 17:27, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > эт называется борьба с митмом ? чё за двойные стандарты ?

    Это называется "если пользователь хочет разрешить MITM, мы ему мешать не будем".

     

  • 1.24, Аноним (-), 17:29, 10/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Я правильно понял, что речь ещё об одном зонде, который при каждом обращении к какому-то сайты будет оправлять сообщение гуглю типа для сверки сертификата?
     
     
  • 2.29, Нэйм (?), 18:25, 10/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Я правильно понял, что речь ещё об одном зонде, который при каждом
    > обращении к какому-то сайты будет оправлять сообщение гуглю типа для сверки
    > сертификата?

    по моему уже нет разницы в постановке вопроса ;)

     

  • 1.36, Аноним (-), 21:52, 10/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Вот и оборотная сторона распространения https везде. Арньше были единичные сайты - банчки, почта, электронные магазины. И всё - остальное было чистый хттп, ибо скрывать там особо нечего. Зато на проблемы с шифрованным трафиком пользователь мог обратить внимание. Теперь ничего не разберешь. Все сайты пошифрованны и иди разбирайся где митм, где сертификат просто просрочен, где на сайте не потрудились перейти на нормальный алгоритм шифрования, где используют не тот удостоверяющий центр. По моему сделали хуже чем было.
     
     
  • 2.39, Аноним (-), 09:05, 11/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И в чем теперь для тебя проблема? Если "скрывать там особо нечего", скажи браузеру игнорировать проблемы с https, делов то.
     
     
  • 3.76, Аноним (-), 21:21, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема в отношении сигнал/шум. Раньше на ошибки обращал внимание. Потому что было мало сайтов с хттпс. А теперь надо точно смотреть куда ты лазаешь и можно ли здесь наплевать на изменения в сертификатах. А если появились проблемы с сертифкатами сидеть и разбираться почему это оно косячит. Уже молчу про отладку общения с сторонними сайтами и кеширование на прокси трафика. Действительно, кому это надо.
    А есть ещё некоторые плюсы за самолично выпущенный сертификат - он для себя сгенерится и один раз примется пользователем. И всякие центры не будут перевыпускать "правильные" сертификаты под тот же сайт. И пользователь при проблеме будет точно обращать внимание - что-то здесь не так.
     
     
  • 4.88, пох (?), 13:05, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А есть ещё некоторые плюсы за самолично выпущенный сертификат - он для
    > себя сгенерится и один раз примется пользователем. И всякие центры не
    > будут перевыпускать "правильные" сертификаты под тот же сайт. И пользователь при

    да кто ж им помешал бы? Перехват самовыписанных сертификатов работает точно так же как и любых других.

     
     
  • 5.97, Аноним (-), 17:20, 15/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Зато выкидываются всякие непонятные комоды-симнтеки из всего этого.
     

  • 1.58, Аммоний (?), 23:48, 11/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Двояковыпуклая новость на самом деле. С одной стороны защищает секретность пользователя, с другой стороны протаптывает тропу DRM-мам, которые борются с возможностью вмешательства самого пользователя в коммуникации между проприетарными web-приложениями и серверами их хозяев.
     
  • 1.67, Катя (??), 08:25, 12/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тут полковник спрашивает "Не помешает-ли данное нововведение исполнению федерального закона № 374 ?"Если и дальше Хром будет себя так вести,его придётся запретить,закон найдётся..
     
     
  • 2.72, тов. майор (?), 13:36, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Тут полковник спрашивает "Не помешает-ли данное нововведение исполнению федерального

    не помешает.

     
     
  • 3.77, Led (ok), 21:45, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Тут полковник спрашивает "Не помешает-ли данное нововведение исполнению федерального
    > не помешает.

    Ты как обращаешся к Кате?! Она же - под-полковник!

     

  • 1.80, Аноним (-), 12:25, 13/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может благодаря этому прийдет конец всяким каперским которые из коробки нагло слушают SSL и не редко провоцируют всякого рода глюки.
     
  • 1.85, Аноним (-), 11:20, 14/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Когда уже контроль над vibrationapi у хрома на Андроиде отдадут юзеру, бесит когда реклама. Пришлось проплатить браузер.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру