LINUX.ORG.RU
ФорумAdmin

Насколько реально получить пароли из SSL?

 man in the middle, ,


0

2

Добрый день. Насколько реально на шлюзе схватить пароли, что передаются по ssl? К примеру от gmail, от vk.com?

Насколько я понял потребуется подменить сертификат ssl на свой и получить пароль.. верно ли?

★★★

Последнее исправление: Klymedy (всего исправлений: 1)
Nagvis и настройка связки parents-child
iptables и сохранение правил

потребуется подменить сертификат ssl на свой

Всё зависит от успешности этого действия. А что может MiM написано в любом учебнике.

imul ★★★★★
()

Так-то оно так, но сертификат будет палёный, и браузер будет горько плакать. И ещё это сработает только тогда, когда юзер будет логиниться. Если он был залогинен, то максимум на что ты можешь рассчитывать — его куки. Тухлая затея, короче.

thesame ★★★★
()
Ответ на: комментарий от thesame

Ну почему - если у человека пароль сохранен - то мне гораздо проще вытянуть «сохранненый пароль» т.к. доступ ко всем компьютерам есть.. Так что тут не тухлость - я проверяю, на сколько это реально. Т.К. вопрос в бюджете - если я смогу достать не сохраняемый пароль коммерческого директора от gmail то выдялят бюджет на безопасность...

fjfalcon ★★★
() автор топика

Единственный реалистичный вектор атаки — подсадить тебе на компьютер чужой сертификат. Но если на твой компьютер у кого то есть доступ, у тебя потенциально может быть больше проблем, чем ссл атаки.

Legioner ★★★★★
()
Ответ на: комментарий от fjfalcon

Поставь ему кейлоггер тогда и не морочь голову :)

Legioner ★★★★★
()
Ответ на: комментарий от thesame

Если он был залогинен, то максимум на что ты можешь рассчитывать — его куки.

В данном случае можно просто сбросить его сессию (не передавать куки) и заставить его снова ввести пароль.

Насчёт варнингов браузера о невалидном сертификате - слышал идею про блокирование OCSP запросов (если браузер не может соединиться с OCSP сервером, то считает сертификат валидным), но я не совсем в теме.

Но вообще кейлоггер - самое простое и универсальное решение в твоём случае, да.

Nao ★★★★★
()
Последнее исправление: Nao (всего исправлений: 1)
Ответ на: комментарий от fjfalcon

Т.К. вопрос в бюджете - если я смогу достать не сохраняемый пароль коммерческого директора от gmail то выдялят бюджет на безопасность...

физический доступ к его компу есть? Тогда можешь поставить левый корневой сертификат в его браузер и без палева организовать человека посередине

Harald ★★★★★
()
Ответ на: комментарий от Nao

Насчёт варнингов браузера о невалидном сертификате - слышал идею про блокирование OCSP запросов (если браузер не может соединиться с OCSP сервером, то считает сертификат валидным), но я не совсем в теме.

OCSP - это проверка, является ли сертификат отозванным, для того, чтобы он попал в отозванные - его сначала должны выдать. О том, что бывает с теми, кто выдает такие сертификаты можешь почитать здесь - http://www.opennet.ru/opennews/art.shtml?num=35754 и прикинуть возможные убытки.

maloi ★★★★★
()
Ответ на: комментарий от fjfalcon

squid + ssl bump + раскатать свой сертификат групповыми политиками винды в доверенные всем клиентам.

Сквид на лету генерирует сертификаты и клиенты уверены что всё тип-топ. У нас так работает достаточно давно и успешно.

blind_oracle ★★★★★
()
Последнее исправление: blind_oracle (всего исправлений: 1)

На сайте Дурова печеньки не передаются в открытом виде, только хеш (работает этот мопед на джава).

Как вариант с ssl - перенаправить https трафик на http (в гугле про это можно прочесть).

invokercd ★★★★
()
Ответ на: комментарий от invokercd

На сайте Дурова печеньки не передаются в открытом виде, только хеш (работает этот мопед на джава).


мгм, только что засниффил на рутере свои же куки

tcpdump -s0 -l -w /dev/stdout -ni eth0 port 80 | strings | grep -e Host -e GET -e Cook

Bers666 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Nagvis и настройка связки parents-child
Admin
iptables и сохранение правил