Trusted man-in-the-middle

0

2

Microsoft отжигает - в Forefront TMG реализована фича HTTPS introspection.

Реализуется эта фича путём «trusted man-in-the-middle» (ну кто бы сомневался!). Так что, если у вас в конторе используется Forefront - оно же «в девичестве» отзывалось на кличку ISA (Internet Security and Acceleration Server), то вендоадмин может поснифать все ваши пароли и действия, в т.ч. на всякие сбербанконлайны, гуглы и т.п.

Даже если вы используете HTTPS.

P.S.: «trusted man-in-the-middle» не я придумал, это апологеты MSFT таким образом пытаются избавиться от пованивающей аббревиатуры MiTM.

Ссылка

←	Мода на выпиливание меню

NVIDIA открывает спецификации на свои GPU

→

← 1 2 →

Ответ на: комментарий от atrus 24.09.13 12:06:45 MSK

Ставить? Портабл же!

Разве что в целях детектить FfTMG ...

~~no-dashi~~ ★★★★★
(24.09.13 12:23:45 MSK) автор топика

Ссылка

Ответ на: комментарий от no-dashi 24.09.13 12:23:07 MSK

зачем тогда за такую контору держаться? Уволили - ну и хрен с ними, когда другие работодатели ждут :)

Harald ★★★★★
(24.09.13 12:29:11 MSK)

Ссылка

Интернеты не нужны же

buddhist ★★★★★
(24.09.13 12:36:30 MSK)

Ссылка

Встроить сертификаты основных сайтов в браузеры, или хотя бы запоминать какими CA они должны быть подписаны. И облом Microsoft'у.

ei-grad ★★★★★
(24.09.13 12:45:31 MSK)

Ответ на: комментарий от ei-grad 24.09.13 12:45:31 MSK

Встроить сертификаты основных сайтов в браузеры

А это ничего, что сертификаты имеют «срок жизни»? :-)

или хотя бы запоминать какими CA они должны быть подписаны

Низзя. Вполне реально сменить CA.

~~no-dashi~~ ★★★★★
(24.09.13 12:51:05 MSK) автор топика

Ответ на: комментарий от ei-grad 24.09.13 12:45:31 MSK

гугл вообще чуть ли не каждый день сертификаты меняет, по моим наблюдениям

Harald ★★★★★
(24.09.13 12:53:45 MSK)

Безопасность не существует.
Кислород — яд.
Мы все умрем.

shimon ★★★★★
(24.09.13 12:54:19 MSK)

Ссылка

Ответ на: комментарий от Harald 24.09.13 11:13:34 MSK

обсуждать личные вопросы через неконтролируемый тобой комп неразумно

Обсуждение предполагает наличие минимум 2 собеседников. Ты можешь быть за мега защищенным компом, а твой собеседник(ца) за завирусованным в интернет кафе. И что? Сильно поможет твоя защита?

~~dk-~~ ☆
(24.09.13 12:59:35 MSK)

Ответ на: комментарий от no-dashi 24.09.13 12:51:05 MSK

Браузеры нынче обновляются гораздо чаще чем меняются сертификаты. Если год не обновлять браузер, то подмена сертификата на вендо-роутере это не самая страшная вещь которая с тобой случится :-).

ei-grad ★★★★★
(24.09.13 13:24:30 MSK)

Ответ на: комментарий от Harald 24.09.13 12:53:45 MSK

Стоит обратить внимание на своего провайдера и CA, которые эти сертификаты выдают... Btw, сертификаты гугла жестко прописаны в хроме.

ei-grad ★★★★★
(24.09.13 13:25:21 MSK)

P.S.: «trusted man-in-the-middle» не я придумал, это апологеты MSFT таким образом пытаются избавиться от пованивающей аббревиатуры MiTM.

Мда, так и хочется сказать <censored> стыд.

praseodim ★★★★★
(24.09.13 13:28:12 MSK)

Ссылка

Ответ на: комментарий от ei-grad 24.09.13 13:24:30 MSK

Хотя зная MS можно предположить, что они способны перевести дату на 5 лет вперед, чтобы браузерам приходилось игнорировать всторенные сертификаты.

ei-grad ★★★★★
(24.09.13 13:29:14 MSK)

Ссылка

Ответ на: комментарий от ei-grad 24.09.13 13:25:21 MSK

CA как бы правильные, но вот конечные сертификаты гугл меняет подозрительно часто

Harald ★★★★★
(24.09.13 13:30:10 MSK)

Ссылка

Ответ на: комментарий от ei-grad 24.09.13 13:25:21 MSK

Они там хоть и прописаны, но все равно там сделан обход для случая если CA локально добавлен

maxcom ★★★★★
(24.09.13 13:34:14 MSK)

Ссылка

Э-э... А это новость? ISA с самого начала умела рвать HTTPS - и не только она. Или ещё что-то прикрутили, упрощающее перехват пользовательской сессии?

Cyril ★★
(24.09.13 16:58:36 MSK)

Ссылка

У меня на работе такое введено. Правда, работает выборочно. Например, на гугл по https пускает, а на тот же втентаклик - подсовывает левый сертификат, подписанный местным центром.

segfault ★★★★★
(24.09.13 17:12:36 MSK)

Ссылка

Ответ на: комментарий от dk- 24.09.13 12:59:35 MSK

Не обсуждать личные вопросы удалённо с людьми которые не разделяют твою пара^W^W твой подход к безопасности?

wisp ★★
(24.09.13 18:32:23 MSK)

Ответ на: комментарий от pekmop1024 24.09.13 11:12:23 MSK

Вряд ли. Иначе любой какер вася вытащит приватные ключи из этого софта и будет снифать весь трафик кого-угодно.

~~Legioner~~ ★★★★★
(24.09.13 18:39:08 MSK)

Ссылка

Ответ на: комментарий от wisp 24.09.13 18:32:23 MSK

Социопатить что ли ?)

~~dk-~~ ☆
(24.09.13 18:44:44 MSK)

Ссылка

Ответ на: комментарий от no-dashi 24.09.13 11:15:21 MSK

Если это правило нарушено, браузер выругается матом.

Нет, если сертификат к сайту будет переподписан ТВОИМ корневым сертификатом.

google://transparent squid ssl bump
http://blog.davidvassallo.me/2011/03/22/squid-transparent-ssl-interception/

Pinkbyte ★★★★★
(24.09.13 19:28:06 MSK)

Ссылка

Ответ на: комментарий от atrus 24.09.13 12:06:45 MSK

Ставить? Портабл же!

Особо упоротые могут зафигачить соответсвующее GPO и ты задолбишься искать portable firefox с нужным именем и хэшем бинаря чтобы пробиться с помощью коллизии.

Pinkbyte ★★★★★
(24.09.13 19:31:11 MSK)

Ссылка

Ответ на: комментарий от no-dashi 24.09.13 10:36:09 MSK

Единственный минус - Firefox

Неужели винадмины не сумеют залить твоему ФФу файлы со своими сертификатами, ежели захотят?

DonkeyHot ★★★★★
(24.09.13 20:02:15 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	Мода на выпиливание меню

Talks

NVIDIA открывает спецификации на свои GPU

→

Похожие темы