LINUX.ORG.RU

История изменений

Исправление x3al, (текущая версия) :

Для начала надо вклиниться в ssl-сессию. Незаметно это не прокатит.

Если есть возможность вклиниться в установление самой первой ssl-сессии — прокатывает.

локальные? да, наверное можно. Теоретически: подделка пакетов «на ходу» - но это реализовать не просто и тем более что все меняется.

Это просто реализовать (но софтовое решение не выдержит большой нагрузки). Ещё скажи, что ssl не нужно потому, что tcp-сессию нельзя подделать.

Прямо сейчас эр-телеком спокойно вклинивается в сессии к «запрещённым» ресурсам и выдаёт свой ответ вместо запрошенного. В том числе и к https (выдаёт с сертификатом, валидным для ertelecom.ru). Сейчас ты объяснишь мне, как это обнаруживается. Да, это стоит им денег, но только из-за высокой нагрузки: для одного офиса можно то же самое провернуть софтово.

атака по isp-каналам

Есть же много мест для вклинивания между юзером и сервером.

tl;dr: SSL именно от этого и защищает. С самоподписанным сертификатом он защищать не может, следовательно, самоподписанный сертификат годен разве что для тестирования софта либо при возможности предустановить что-либо на клиентские машины по надёжным каналам.

Исходная версия x3al, :

Для начала надо вклиниться в ssl-сессию. Незаметно это не прокатит.

Если есть возможность вклиниться в установление самой первой ssl-сессии — прокатывает.

локальные? да, наверное можно. Теоретически: подделка пакетов «на ходу» - но это реализовать не просто и тем более что все меняется.

Это просто реализовать (но софтовое решение не выдержит большой нагрузки). Ещё скажи, что ssl не нужно потому, что tcp-сессию нельзя подделать.

Прямо сейчас эр-телеком спокойно вклинивается в сессии к «запрещённым» ресурсам и выдаёт свой ответ вместо запрошенного. В том числе и к https (выдаёт с сертификатом, валидным для ertelecom.ru). Сейчас ты объяснишь мне, как это обнаруживается.

атака по isp-каналам

Есть же много мест для вклинивания между юзером и сервером.

tl;dr: SSL именно от этого и защищает. С самоподписанным сертификатом он защищать не может, следовательно, самоподписанный сертификат годен разве что для тестирования софта либо при возможности предустановить что-либо на клиентские машины по надёжным каналам.