А какие вообще есть способы авторизации клиента у провайдера?

Будучи настоящим асоциальным лоровцем
написал на вкшную страницу

А царь-то ненастоящий.

А как Василий будет снифить трафик?

обрежет провод, обожмёт концы, вставит в свой роутер, что делать дальше, догадаться не трудно

см. выше

иными словами, что гипотетическому Василию мешает подсоединиться к вашему проводу?

Вопрос прослушки, думаю, его не волнует совсем.

провайдер — говно, значит

И как тебя от этого спасёт впн?

А царь-то ненастоящий.

Вк проще всего читать политоту и прочие новости. Заодно площадка для графоманства и мессенджер.

обрежет провод, обожмёт концы, вставит в свой роутер, что делать дальше, догадаться не трудно

ну и что ему это даст? Весь ценный трафик и так шифруется.

Весь ценный трафик и так шифруется.

вопрос: как? https, к примеру, будет бесполезен: от атаки «человек посередине» он, по факту, не защищает. а другой защиты интернет-магазины, например, не имеют.

очевидно, с полностью зашифрованным трафиком абстрактный Вася сделать ничего не сможет

от атаки «человек посередине» он, по факту, не защищает

Да ладно? От чего он тогда защищает? По твоему я не замечу что сертификат недействителен?

https

да. И не только...

По твоему я не замечу что сертификат недействителен?

нет, потому, что с т.з. вас сертификат будет действителен

Да ладно? От чего он тогда защищает?

например, от прямой попытки компрометировать вас или сервер, к которому вы подключаетесь

да. И не только

эти «не только» основаны на асимметричном шифровании и не защищают от атаки «человек по середине» точно также

нет, потому, что с т.з. вас сертификат будет действителен

эти «не только» основаны на асимметричном шифровании и не защищают от атаки «человек по середине» точно также

мне с вами больше не о чем разговаривать

А, так вы — очередной дурачок? В таком случае, продолжайте гордиться своей невежественностью дальше.

Впрочем, всё-таки процитирую:

HTTPS не является отдельным протоколом. Это обычный HTTP, работающий через шифрованные транспортные механизмы SSL и TLS. Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения — от снифферских атак и атак типа man-in-the-middle, при условии, что будут использоваться шифрующие средства и сертификат сервера проверен и ему доверяют.

Т.е. самоподписанные сертификаты идут лесом, это во-первых, а во-вторых, в случае, если дикредитирован ЦС, любой сертификат идёт лесом. И второй случай, как раз, возникает, ежели злоумышленнику удалось перехватить весь интернет-траффик целиком.

Аналогично не только с HTTPS, но и с любой системой асимметричного шифрования, так как дальше сертификации эти системы никуда не ушли.

Хотя, зачем я распинался, всё равно, вы ни слова не поняли...

https, к примеру, будет бесполезен: от атаки «человек посередине» он, по факту, не защищает

Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения — от снифферских атак и атак типа man-in-the-middle

И кто из нас дурачок?

Т.е. самоподписанные сертификаты идут лесом

И часто ты такие используешь? Я не использую.

И второй случай, как раз, возникает, ежели злоумышленнику удалось перехватить весь интернет-траффик целиком.

Т.е. ты хочешь сказать, что при подключении к общественным сетям (например, публичный бесплатный WiFi) мой трафик ничем не защищён от владельца сети, пусть даже я использую HTTPS?

Ростелек дает 100/100 до я диска.

обрежет провод, обожмёт концы, вставит в свой роутер, что делать дальше, догадаться не трудно

если смысл скрываться все только от Васи, то конечно впн будет самое то

Вася поднял у себя впн сервер и принимает от тебя соединение, для тебя это выглядит как подключение к провайдеру,- он слушает твой трафик.

Зондопровайдер дает +100 к зондодиску? Нуу... Я раз за тебя...

Будучи настоящим асоциальным лоровцем, разумеется, звонить я никуда не стал (людей я не люблю, а тех. поддержку — так тем более).

Рекомендую немного поработать в конторе, где нужно общаться(вынужденно) хотя бы 5 раз в день с незнакомыми людьми по телефону. После года такой работы для меня нет лучшего развлечения чем звонок в ТП.

И кто из нас дурачок?

вы. ибо читать не умеете, даже специально выделенный текст: защищает, при условии, что сертификат сервера проверен и ему доверяют. это касается и центра сертификации тоже. как вы можете доверять центру сертификации, если знаете, что весь ваш траффик перехвачен? а никак. сертификаты, выданные центром, в этом случае, подделываются точно также, как и самоподписанные.

а ещё с незашифрованным трафиком человек по середине может спокойно понавнедрять руткитов и троянцев, что ещё более отменяет смысл сертификатов в этом случае.

Я не использую.

и что теперь? миллионы людей используют.

а другой защиты интернет-магазины, например, не имеют.

ну вообще оплата(той же палкой) предполагает двухфакторную аутентификацию. без кода из смс ничего не выйдет. а если у тебя и телефон украдут\отберут, то тогда наверное сразу проще заставить тебя все деньги отдать.

//оплату без кода можно отменить звонком в банк как только пришло сообщение о списании.

нет, т.к. он не знает мой пароль от интернета (от vpn, то есть) => слушать траффик не может

у кого то каша в голове.

что сертификат сервера проверен и ему доверяют

Если я открою сайт и браузер будет ругаться на сертификат я замечу данный казус.

да и не только палкой: это надёжно. а вот оплата картой требует только номера карты, пинкод и всё! там безопасность вообще ни о чём.

оплату без кода можно отменить звонком в банк

а с кодом?

какой же ты всё таки имбицил. У него будет стоят впн сервер который будет принимать ВСЁ соединения.

Для того и придемали пассивные оптические сети)) (gpon) обрезайте жилу, варите ее, знайте точно длину волны отданную конкретному клиенту..

по этому соединению, имбецил, а пароль я могу установить с другого

Все клиенты работают на одной длине волны.

С другого чего?

Ты тут начал бузеть от того что провайдер не применяет впн от прослушки, я тебе показал пример что впн тут нечем не поможет. Ты начинаешь лесть в бутылку.

Да ошибся, имелось ввиду tdma

а никак. сертификаты, выданные центром, в этом случае, подделываются точно также, как и самоподписанные.

Это как же интересно?

Щас тебе крикун теоретик расскажет.

для этого надо подделать ключ центра сертификации, очевидно же. ежели злоумышленник фильтрует весь ваш трафик целиком, как вы можете быть уверены, что открытый ключ центра сертификации, хранящийся на вашем компьютере — верный? snaf

защищён. для того, чтобы атака сработала, нужно подделать ключ центра сертификации, а это на практике возможно только если весь ваш трафик фильтруется. случайное от случая случая подключение к публичному вайфаю такой возможности не предоставляет.

По номеру порта же, куда воткнут кабель.

Так MAC клонировать тоже элементарно. Тут только VPN поможет.

угу. я про впн и глаголю.

миллионы людей используют

Хомячки не используют. А те, кто используют либо ССЗБ, либо знают достаточно, чтобы защититься.

А касательно центра сертификации - корневые сертификаты уже вшиты в браузер и ОС. Чтобы их обновления скачались нужно, чтобы они прошли проверку сертификатами, которые уже есть в системе. В общем, подменить корневой сертификат получится только в момент загрузки установочного образа ОС, либо если скомпрометировать центр сертификации. Центры сертификации обычно весьма защищены и дяде Васе недоступны, а момент закачки образа ОС ещё надо поймать.

Хомячки не используют.

ещё как используют. для них отсутствие какой-то там подписи к сертификатам — лишь очередной непонятный барьер между ними и котиками, в том же ВК, лиса раньше ругалась на кривой сертификат.

корневые сертификаты уже вшиты в браузер и ОС

ага, а браузер откуда берётся? святым духом появляется?

Чтобы их обновления скачались нужно, чтобы они прошли проверку сертификатами, которые уже есть в системе.

и тут мы приплыли. та же бубунта вполне себе скачивает и устанавливает неподписанные обновления, ага. это если забыть про лёгкую возможность внедрения троянца, когда весь трафик перехватывается, этот троянец поменяет все подписи, да и всё.

а момент закачки образа ОС ещё надо поймать.

и в чём проблема, если весь трафик перехватывается?

Ты вобще знаешь как проверяется подпись? Браузер никуда не обращается в реальном времени.

Или ты параноишь до такой степени, что сертификаты у тебя в установленном браузере уже поддельные?

и в чём проблема, если весь трафик перехватывается?

Мы ведь говорим про кулхакера Васю, а не провайдера или спецслужб? Если так, то, очевидно, что слежка начнётся лишь с какого-то момента, когда злоумышленнику приспичит подключиться. А значит с высокой степенью вероятности ОС уже будет установлена. К тому же ОС может быть получена из других источников - пользователь может одолжить диск у друга или купить его в конце-концов. Или скачать по HTTPS через уже установленную ОС, которая содержит в себе верные сертификаты.

ага, а браузер откуда берётся? святым духом появляется?

Под виндой его скачивают через IE, который вполне способен проверить SSL-сертификат средствами самой винды. Так что если качать браузер через HTTPS, то проблем не будет. Под Linux в нормальных дистрибутивах существует механизм проверки подписи пакетов. Я не знаю, как в убунте, хотя когда-то давно когда я её тыкал, я натыкался на соответствующую ошибку, если добавить левый репозиторий, но забыть добавить его ключ. Сейчас регулярно на плохом интернете натыкаюсь на ошибку проверки подписей пакетов в арче, если пакет побился при закачке. В общем, в арче сегодня этот механизм работает точно, в убунте раньше тоже точно работал.

для них отсутствие какой-то там подписи к сертификатам — лишь очередной непонятный барьер между ними и котиками

А... ну так ССЗБ должны страдать, это норма. Речь о том, что если человек не совсем идиот, то HTTPS отлично защищает от MitM. Как бы бронированная дверь любой толщины совершенно бесполезна, если не закрывать её.

Под виндой его скачивают через IE, который вполне способен проверить SSL-сертификат средствами самой винды.

что-то я сомневаюсь, что винда проверяет фаерфокс или гуглхром, и уж точно она не проверяет какой-нибудь пассвордбосс

в убунте раньше тоже точно работал.

в убунте я раньше натыкался на такой момент, что она уведомляет о том, что пакет неподписан и спрашивает разрешения пользователя поставить его всё-равно в командной строке. но если ставить из GUI - менеджера, то она просто ставит по-тихому, и всё. и то, речь идёт об установке пакетов из реп. если ставить не из реп, а свежую версию, то вообще ничего не проверяется.

Ну вот я иду на страницу загрузки Google Chrome через IE - а там HTTPS. А в винду вшит сертификат Google. И если подменить страницу гугла, то IE начнёт ругаться на поддельный сертификат. Если пользователь не ССЗБ, то он не станет качать поддельный браузер, а начнёт выяснять, кто перехватывает его трафик.

Помню, года 3 назад иногда возникали проблемы с dhcp. Прописал свой айпишник статически. Где-то через 3 месяца мне позвонили и попросили переключиться на получение адресов по dhcp, что я и сделал, и попросили больше так не делать. Спустя некоторое время я попробовал снова указать статические ip, маску и шлюз, но ничего не работало – судя по другим сообщениям, они включили option 82.

С другой стороны, всё ещё используется pppoe. Проблем никогда не возникало и на скорость не влияло, но непонятно, почему при активной 82 pppoe всё ещё нужно.

ну и троянец внедрённый в первый же экзешник, скачанный с неподписанной станицы сменит вам серификаты так, как того желает злоумышленник. а юзеры винды любят скачивать экзешники с неподписанных страниц, ибо «пираты».