[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Как смотреть HTTPS



On 2002.10.25 at 07:53:02 +0400, Vitaly A. Sergeinko wrote:

> Четверг 24 Октябрь 2002 17:21, Dmitry Astapov написал:
> >
> > Надо поточить голову, почитать доки, и понять, что в результате получится
> > не https, а сплошная security hole. После этого - расслабиться.
> >
> Расслабиться мне не дает шеф. То что идеалогия HTTPS нарушается его мало 
> волнует, на пользователей ему наплевать. 

А вот авторов  HTTPS это очень даже волнует. Их основная цель -
гарантировать пользователю, что НИКТО (никакой прокси, в частности) не
подсмотрит ту информацию, которую их пользователи своим серверам
пересылают.

> Как это безобразие написать самому - мысли есть. Примерный код такого прокси 

А у меня нет таких мыслей. Потому что браузер будет выкидывать юзеру
диалог с крупными буквами "Мужик, тебя хачат! Ты пошел на
www.something.com, а тебе отдают сертификат proxy.somewhere.ru, да еще и
не подписанный никаким известным Certification Authiority".

Единственный способ это обойти, который мне приходит в голову, это
заставлять пользователей ходить на
https://proxy.somewhere.ru/www.something.com/tra-ta-ta
вместо https://www.something.com/tra-ta-ta

Но боюсь, что скрипты на www.something.com тебя в этом случае не поймут,
и будут упорно пытаться отправить (по ссылке или редиректом)
непосредственно на https://www.something.com

> я себе представляю. НО, вдруг уже это кто-то сделал до нас?

Если бы кто-то это сделал, то протоколом HTTPS уже никто бы не
пользовался, (и уж во всяком случае читателям bugtraq было бы известно,
что он inherently insecure), а придумали бы что-нибудь другое
-- 
Victor Wagner			vitus@ice.ru
Chief Technical Officer		Office:7-(095)-748-53-88
Communiware.Net 		Home: 7-(095)-135-46-61
http://www.communiware.net      http://www.ice.ru/~vitus



Reply to: