Trusted man-in-the-middle

а клиентам устанавливать левый сертификат нужно?

Вроде бы да... иначе я не представляю такой архитектуры.

Запрашиваешь https://ya.ru - а тебе приходит сертификат от Forefront'a. Выходит, клиенты должны изначально считать, что этому сертификату можно верить для всех узлов сети вообще.

Так что, если у вас в конторе есть админ, то админ может поснифать все ваши пароли и действия, в т.ч. на всякие сбербанконлайны, гуглы и т.п.

Только в вендах это сделать удобнее (ну то есть как всегда).

Trusted - это потому что они по дефолту засунули сертификат в доверенные? Вообще, интересное поле для деятельности. Нельзя ли эти доверенные сертификарты юзать для обычного MitM'а? HTTPS-капец? :)

Как я понимаю, то же самое можно с помощью любого прокси сделать, особенно прозрачного.

Как я понимаю, то же самое можно с помощью любого прокси сделать, особенно прозрачного

С помощью прозрачного - нельзя. А вот с помощью обычного - можно. Собственно, так оно и делается у них.

Открыл Америку. Этой фиче уже лет 10.

Прокси тоже не позволяют честно пробросить SSL и что? Линуксовые админы со squid могут поснифать все ваши пароли и действия, в т.ч. на всякие сбербанконлайны, гуглы и т.п.

а клиентам устанавливать левый сертификат нужно?

Им «левый» корневой сертификат заливается через групповые политики. То есть если у тебя на рабочей станции винда введенная в виндодомен - тебя просто откровенно трахнут. Зальют левые сертификаты, расшифруют весь траффик, снифнут все пароли, проверят все твои (ну - это ты думал что это «твои» - теперь уже не твои!) эккаунты и письма и т.п.

И главное - это можно делать удобно и чуть ли не в дюжину кликов мышкой.

Единственный минус - Firefox. Он плевал на инсталированные в винду сертификаты (у него собственный сторадж), поэтому с ним так просто не выйдет. Так что если вам категорически запрещают ставить FF (а будучи поставлен он ругается на сертификаты) - можете быть уверены - вам «засадили по самые помидоры».

зачем надо было столько текста писать, когда можно просто сказать - не надо ходить в интернет-банки и гуглы с недоверенного устройства :)

а дальше уже принципиальной разницы нет, пишет трафик прокси сервер или специальный троян на клиентском компьютере, это уже технические детали

Расскажи подробнее, пожалуйста. Давно хотелось закешировать весь SSL.

Этой технике уже лет 10, если не соврать, нет?

Squid такое тоже может, лучше его пиарь :-)

у тебя на рабочей станции винда введенная в виндодомен

Твой комп - твои правила. Но тут комп не твой, правила тоже не твои. А вдруг ты враг-инсайдер?

Подменные сертификаты сквида никто не устанавливает по дефолту во все винды мира

ничего не мешает это сделать через доменную политику

А вдруг ты враг-инсайдер?

А вдруг твоя жена пишет тебе по аське с работы «Ура, я беременна!» а её на следующий день вызывают к заму по кадрам и говорят: «либо пишешь по собственному, либо вылетаешь по статье». Или ты понимаешь, что плохо себя чувствуешь, записываешься к онкологу, с работы пишешь жаббером жене «завтра пойду к онкологу» - и аналогично получаешь вызов к кадровикам с таким же ультиматумом?

Или скажем пишешь знакомому «&^$*, в этой конторе половина неадекваты, включая 3/4 начальников отделов и зама по коммерции», после чего тебе пишут «нарушение трудового договора путем нарушения корпоративной этики в общении» и отправляют на биржу труда. Разве это не прЫлессстно?

Разве это не прЫлессстно?

Не прЫлессстно, не этично, мерзко. Но комп не твой, да. У нас есть пара людей с брокерскими терминалами, они приносят свои ноуты, сидят в инете через расшаренный телефоном/модемом 3ж.

А почему с помощью прозрачного нельзя? Фильтровать же контент можно с помощью него. Так вроде делают отличные от ростелекома провайдеры в Роиссе. Также, упоминалось, что в Великобритаине тоже используют прозрачные прокси для фильтрации трафика. Соответственно, если весь трафик идёт через этот прокси, то почему нельзя его сниффать?

А эти, похоже, уже в корневых сертификатах.

обсуждать личные вопросы через неконтролируемый тобой комп неразумно

Скажи это пользователям соцсетей...

А почему с помощью прозрачного нельзя?

Потому, что ты не знаешь имя хоста к которому коннектится клиент - только IP, а сертификат должен содержать имя - браузер ожидает что имя хоста которое он загнал ранее в gethostbyname совпадает с cn сертификата, или сертификат domain-wide (certificate subject: *.domain.com). Если это правило нарушено, браузер выругается матом.

либо вылетаешь по статье

По какой?

А эти, похоже, уже в корневых сертификатах.

Нет, так быть не может

Почему? Это же некрософт. Не забывай, кто делает оффтопик. :)

Потому, что ты не знаешь имя хоста к которому коннектится клиент - только IP, а сертификат должен содержать имя - браузер ожидает что имя хоста которое он загнал ранее в gethostbyname совпадает с cn сертификата, или сертификат domain-wide (certificate subject: *.domain.com). Если это правило нарушено, браузер выругается матом.

На практике нет особой разницы CONNECT это или нет, те реализации mitm что я видел так или иначе проводят частичный handshake с сервером назначения чтобы выяснить какой сертификат генерировать.

Потому, что ты не знаешь имя хоста к которому коннектится клиент - только IP, а сертификат должен содержать имя - браузер ожидает что имя хоста которое он загнал ранее в gethostbyname совпадает с cn сертификата, или сертификат domain-wide (certificate subject: *.domain.com). Если это правило нарушено, браузер выругается матом.

что мешает посмотреть имя хоста в пришедшем от сервера сертификате, а потом на лету подписать левый сертификат с таким же хостнеймом? Собственно так оно и делается

Я не пиарю, я в бешенстве :-/ Я бы стерпел эту хрень, но это г..но не умеет «простреливать» на сайты с самоподписанными сертификатами.

О как. Вечер перестает быть томным...

С помощью прозрачного - нельзя.

Squid может. Там в 3.3 запилили BumpSslServerFirst

По какой?

Например, по несоответствию занимаемой должности - устроят тебе аттестацию с еб...ми заданиями и превед. Нарушение трудового договора (пришел в джинсах - выговор, снял пиджак в 30 граудсную жару - выговор). Невыполнение должностных обязанностей (дадут еб..е задание которое зависит не только от тебя, на «той стороне» устроят саботаж). Поднимут журнал прихода на работу/ухода с работы, и за каждую минуту влепят по предупреждению. Да много в общем-то вариантов.

Я не пиарю, я в бешенстве :-/ Я бы стерпел эту хрень, но это г..но не умеет «простреливать» на сайты с самоподписанными сертификатами.

Ну это логично. Потому как если ты mitm, то есть два варианта поведения:

1. валидировать сертификаты и проверять только те которым доверяем. В этом варианте самоподписанные и подписанные левыми CA идут лесом
2. доверять всем сертификатам, открывая тем самым твою сеть всем другим атакам типа mitm

логично что они выбрали 1-й вариант

О как. Вечер перестает быть томным...

Ага. А ещё есть фишка, когда клиент хочет аутентифицироваться на сервер сертификатом, и эта долбаная хрень начинает жизнерадостно говнить.

Нелогично, что это поведение нельзя изменить. Не у всех есть желание на 100500 внутренних сервисов ставить платные сертификаты.

Почему? Это же некрософт. Не забывай, кто делает оффтопик. :)

потому что тогда их можно было бы вытащить оттуда и использовать для mitm против любого сайта где угодно

потому что тогда их можно было бы вытащить оттуда и использовать для mitm против любого сайта где угодно

Я, в общем, на это всю прошлую страницу и намекал

Нелогично, что это поведение нельзя изменить. Не у всех есть желание на 100500 внутренних сервисов ставить платные сертификаты.

Внутренние надо внести в список доверяемых на проксе

Так вроде no-dashi намекал, что это невозможно.
Вообще, допускать некрософтовский софт до руления сетью... упороться надо.

Собственный корневой сертификат очень полезен чтобы действительно получить конфиденциальность (собственно, это единственный вариант для действительно конфиденциальных коммуникаций). Если тебя заверяет кто-то, никто не мешает этому кому-то выписать ещё один сертификат на твоё имя - инциденты уже были.

Ок, как это связано с тем что я написал?

Одно радует - новых версий этой гадости больше выпускаться не будет.

устроят тебе аттестацию

И огребут себе массу геморроя, с шансом выступить ответчиком в суде.

Нарушение трудового договора (пришел в джинсах - выговор, снял пиджак в 30 граудсную жару - выговор)

А в ПВТР записана форма одежды? Что пиджак обязателен? А роспись работника что он ознакомлен с ПВТР имеется?

на «той стороне» устроят саботаж

Пойдут в суд.

Поднимут журнал прихода на работу/ухода с работы

Не больше чем месяц назад. На каждый (!) случай работник напишет объяснительную записку, где может показать, что опоздание было вынужденным.

Коротко говоря - уволить по статье крайне непросто. А потом ещё может быть суд, трудовая инспекция, а как на предприятии соблюдаются нормы, а освещённость, а пожарная безопасность, а то, а сё...

Коротко говоря - уволить по статье крайне непросто.

Это твоя теория, или практика? На практике - увольняли.

значит, сотрудник не очень ценный для конторы, а всё вышеописанное - лишь поводы :)

винда введенная в виндодомен

Не спец в вендах, но не означает ли это что админ может всё что угодно с тачкой делать?

устроят тебе аттестацию с еб...ми заданиями и превед.

Не надо работать в таких местах. Я уже одному работодателю сделал ручкой, ни разу не пожалел.

Не спец в вендах, но не означает ли это что админ может всё что угодно с тачкой делать?

означает

Так что если вам категорически запрещают ставить FF

Ставить? Портабл же!

значит, сотрудник не очень ценный для конторы, а всё вышеописанное - лишь поводы

Ну или руководство «эффективные менеджеры».