LINUX.ORG.RU

Скрипт создает два файла в домашнем каталоге пользователя: my_ssl_certs.list и fingerprint.list

Эти файлы в теории должны быть одинаковы у всех пользователей сети Интернет во всем мире.

Расхождение определяем утелитой 'diff'.

В этом случае лучше меньше чем больше!

Расхождения возможны в следующих случаях:

1. Включение сертификатов фирм с пониженной социальной ответственностью: CAcert Inc. Я бы удалил..

2. Включение сертификатов социально безответственность фирм: Startcom, Wosign. Этих надо удалять!

3. ОДИН сертификат вашего антивирусника которому необходимо сделать MitM для сканирования на вирусы всего сетевого трафика включая HTTPS. Этот сертификат необходим, он должен создавался антивирусным ПО на вашем компе при настройке или на антивирусное шлюзе. Берегите секретный ключ этого сертификата!

4. Остальные это вирусные для MitM. Удалять!

anonymous
()
Ответ на: комментарий от anc

Да, год назад на опеннете показал как незаметно, просматривать полные URL при использовании протокола HTTPS и делать постраничный бан, а сегодня здесь не хочу этого делать.

anonymous
()
Ответ на: комментарий от vasya_pupkin

Надо тестить на моём злобном фильтрующем прокси. С https все фильтры замечательно работали БЕЗ РАСШИФРОВКИ и необходимости в корневом сертификате.

Ты так же как РКН целыми подсетями банишь ? :)

Я же предельно ясно написал - мой прокси умеет постраничную фильтрацию на основе полной URL всего http и https трафика, без расшифровки трафика, без внедрения левых корневых сертификатов клиентам и не заметно для клиентов!

anonymous
()
Ответ на: комментарий от anonymous

Да, год назад на опеннете показал как незаметно, просматривать полные URL при использовании протокола HTTPS и делать постраничный бан, а сегодня здесь не хочу этого делать.

«Вся рота не в ногу, один анон в ногу».
Жирный, жирный - поезд пассажирный.

anc ★★★★★
()
Ответ на: комментарий от anonymous

Все могут посмотреть на какую страницу ты зашёл URL

Я прочитал весь RFC на самый широко используемый сейчас TLS 1.2. Нет там возможности смотреть URL страницы. TLS это протокол защиты потока, а не защиты HTTP. Он вообще не в курсе, что данные, которые внутри передаются это HTTP.

i-rinat ★★★★★
()
Ответ на: комментарий от i-rinat

TLS - Transport Layer Security. HTTP - это appliction level (в модели tcp/ip). Было очень странно, если TLS знал, что там происходит в appliction level.

anonymous
()
Ответ на: комментарий от anonymous

TLS - Transport Layer Security. HTTP - это appliction level (в модели tcp/ip).

TLS — тоже application level. :-D

Было очень странно, если TLS знал, что там происходит в appliction level.

Тот аноним утверждал, что можно увидеть полный URL. Как это сделать, если не лезть внутрь HTTP? Пришли к противоречию, значит гипотеза была неверна. чтд.

i-rinat ★★★★★
()
Ответ на: комментарий от anonymous

Я же предельно ясно написал - мой прокси умеет постраничную фильтрацию на основе полной URL всего http и https трафика, без расшифровки трафика, без внедрения левых корневых сертификатов клиентам и не заметно для клиентов!

С HTTP все понятно,а вот как https фильтруется постранично ты так нам и не сказал и видимо не скажешь...

vasya_pupkin ★★★★★
()
Последнее исправление: vasya_pupkin (всего исправлений: 1)
Ответ на: комментарий от i-rinat

TLS — тоже application level

Эх, не получилось выпендриться.

Тот аноним утверждал, что можно увидеть полный URL.

О такой «дыре» знали и использовали бы все кому не лень.

anonymous
()
Ответ на: комментарий от anonymous

О такой «дыре» знали и использовали бы все кому не лень.

Может дядя(другой анон) угнал машину времени, вспомнил про нeart bleed, и подумал что это было год назад? :)

anc ★★★★★
()
Ответ на: комментарий от anc

Я написал, что можно узнать полный URL без полной расшифровки (внедрения корневого MitM сертификата клиенту) и сделать это не заметно для клиента!

Я даже могу содержимое страниц подсмотреть, но клиент это уже заметит.

Могу продать прокси который это делает уже сегодня! Но зачем он хорошим людям?

Продаю прокси с классическим MitM, полной расшифровкой, полной проверкой трафика на вирусы и фильтрацией. К стати этот прокси сделать сложнее чем просто фильтрацию по полной URL HTTPS трафика без полной расшифровки и внедрения корневого сертификата клиентам..

Вы очень наивны когда надеетесь что кто-то сделает для вас HTTPS без возможности подсмотреть;)

Товарищ майор может и поиск по https страничка делать: https://www.opennet.ru/tips/3110_squid_e2guardian_clamav_proxy_ssl_traffic.shtml

anonymous
()
Ответ на: комментарий от i-rinat

Там нет матмодели которая даёт гарантию! И этот факт можно использовать...

Смотри пост анонима выше.

anonymous
()
Ответ на: комментарий от vasya_pupkin

Тебе, как пользователю необходимо знать что это возможно!

Могу продать проксю которая это делает, напиши для каких целей будешь ее использовать. Всем людям надо антивирусную проксю с полной расшифровкой.

anonymous
()
Ответ на: комментарий от anonymous

Там нет матмодели которая даёт гарантию! И этот факт можно использовать…

Там матмодель даёт гарантию возможности расшифровать. Сообщения подписываются тегами, поэтому можно просто перебирать ключи, пока не не найдём такой, который даёт правильный тег.

В мире куча людей, шарящих в криптографии. И только один аноним с ЛОРа знает секрет, который спрятан на виду у всех. Всё возможно, конечно, но маловероятно.

Ха-ха, маловероятно. Примерно как шанс подобрать 128-битные ключи.

i-rinat ★★★★★
()
Последнее исправление: i-rinat (всего исправлений: 1)
Ответ на: комментарий от anonymous

Всем людям надо антивирусную проксю с полной расшифровкой.

Так делают же MitM на проксе. На ходу генерируется сертификаты для доменов, подписываются корневым, который устанавливается на компы пользователей.

i-rinat ★★★★★
()
Ответ на: комментарий от anonymous

Продолжайте. Мы вас внимательно слушаем.

anc ★★★★★
()
Ответ на: комментарий от i-rinat

В мире куча людей, шарящих в криптографии. И только один аноним с ЛОРа знает секрет, который спрятан на виду у всех. Всё возможно, конечно, но маловероятно.

То что https позволяет незаметно для клиента посмотреть полный URL, и сделать на этой фичи фильтрирующий прокси в мире знает кучу народа (без впаривания корневого сертификата клиенту и полной расшифровки). Рунет тоже в курсе моей сьатейки как это сделать. У меня есть готовый прокси который может это делать, кому надо может купить, если напишет здесь для чего... И только регистраты с ЛОРа не втеме.

anonymous
()
Ответ на: комментарий от anonymous

И только регистраты с ЛОРа не втеме.

Ну так просвети! Полмесяца на месте топчешься. Давай, колись XD

t184256 ★★★★★
()
Ответ на: комментарий от i-rinat

Можно точно подсмотреть полную URL не заметно для клиента.

Мне кажется что можно подсмотреть содержимое страницы, но клиент об этом уже узнает, бровзер выдаст сообщение о потере ssl соединения.. В принципе 99% не парясь просто перегрузят страничку и ssl соединение восстановится.

Это все что желаю сегодня сообщить. Имейте в ввиду и используйте многослойное шифрование. Одного https сегодня уже давно мало.

anonymous
()
Ответ на: комментарий от i-rinat

Я дико извеняюсь за оффтоп. А будет ли тот же код рисования окружности но на питоне? Для сравнения.

Deleted
()
Ответ на: комментарий от Deleted

А будет ли тот же код рисования окружности но на питоне?

Не планирую.

i-rinat ★★★★★
()
Ответ на: комментарий от i-rinat

Подсматривать авторизационную информацию не хорошо.

У меня есть прокся которая незаметно может посмотреть URL, все остальное кажется уже заметно - клиент увидит сообщение о разрыве ssl.

Проксю продаю.

Напиши здесь с какой целью оно тебе надо. Если цель хорошая, продам проксю.

anonymous
()
Ответ на: комментарий от anonymous

У меня есть прокся которая незаметно может посмотреть URL, все остальное кажется уже заметно

Cookie ничем не отличаются от URL. Так что тут кто-то «дёргает меня за ногу».

i-rinat ★★★★★
()
Ответ на: комментарий от anonymous

Как зачем, дыру в спеках закрыть. У меня коллега — просто бог TLS, и в особенности TLS 1.3, он бы существованию этой дыры был рад больше всех подарков на дни рождения вместе взятых. Если бы она существовала, конечно. =P

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)
Ответ на: комментарий от anonymous

Если тебе эта технология нужна, напиши для чего, проксю могу продать.

Забыли написать по предоплате.

anc ★★★★★
()
Ответ на: комментарий от gremlin_the_red

приведи пример как закосить правдоподобно

burato ★★★★★
()
Ответ на: комментарий от i-rinat

Цена подсмотреть https сильно зависит от того в каком по порядку сетевом пакете идёт информация!!!

Первый шифрованный пакет подсмотреть ОЧЕНЬ дёшево, и полная URL в нём гарантировано будет! А где гарантия того, что в нём будут куки, пароли, другая авторизационная информация?

Для пущей безопасности проектируйте сайты так чтобы перед авторизацией надо гарантировано обменятся несколькими сетевыми запросами/ответами.

Если кто в закладках держит авторизационный URL и сразу вводит логин пароль, можно стырить авторизацию.

Выполняйте перед вводом пароля несколько кликов по разным страницам сайта. Разрыв ssl после ввода пароля - явный признак действия прокси данного типа! Меняйте пароль и сбросте активные сесии на этом сайте.

Я год назад встречал разрыв ssl после 5 кликов, это довольно дорого для атакующего.

anonymous
()
Ответ на: комментарий от t184256

коллега — просто бог TLS

Этого мало, проблема комплексная в https. Надо понимать как все работает в комплексе. Читай пост выше, там есть ключевой намёк, в расшифровывки ssl необходимости нет, но если у тебя есть контроль над всем трафиком, ты можешь чуть подсмотреть. ;)

Надо всем обращать внимание на разрыв ssl сесии и не вводить авторизационный данные сразу после захода на сайт, сделайте пару кликов оставаясь на этом сайте, если по клику вы уйдете с сайта, а потом вернетесь обратно, то атакующему будет легче.

Проксю можно купить у меня, предоплатой? По договору, как договоримся. Мне важно ваша цель, если хорошая, заключим договор, конечно с пунктом о неразглашении и с разрешением использовать только в вашей организации, для указанной вами хорошей цели.

anonymous
()

Нет. Таки обратно в школу. This is not, how whole cert shit funcs.

beastie ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.