Re: Как смотреть HTTPS

To: debian-russian@lists.debian.org
Subject: Re: Как смотреть HTTPS
From: Victor Wagner <vitus@ice.ru>
Date: Mon, 28 Oct 2002 13:55:06 +0300
Message-id: <[🔎] 20021028105506.GG27743@ice.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 20021028091447.GB29954@hydra>
References: <[🔎] 87elag2csc.fsf@dimail.umc.com.ua> <[🔎] 20021024133418.GA32441@mawhrin.net> <[🔎] 87r8egq6sb.fsf@big.terem> <[🔎] 20021025081738.GA3311@mawhrin.net> <[🔎] 87lm4m29xr.fsf@dimail.umc.com.ua> <[🔎] 20021025084333.GA3417@mawhrin.net> <[🔎] 20021025085200.GI635@ice.ru> <[🔎] 20021025095808.GA20637@hydra> <[🔎] 877kg61wpz.fsf@dimail.umc.com.ua> <[🔎] 20021028091447.GB29954@hydra>

On 2002.10.28 at 11:14:47 +0200, Alexey Vyskubov wrote:

> > HTTPS отличается от HTTP (с практической точки зрения) тем, что позволяет
> > юзеру быть увереным в том, что его браузер общается с конкретным
> > веб-сервером и поток данных между сервером и браузером не трогается ничьими
> > грязными руками.
> > 
> > Мы ставим посередине некий гипотетический https прокси, работающий так, как
> > было описано в оригинальном письме, и оба свойства идут лесом. Где я не прав?
> 
> Представь себе, что злоумышленнику нужно подсмотреть трафик между
> клиентом и настоящим сервером. А доступ у него есть только к сети
> снаружи прокси, и затраты на подмену сервера и игры в man-in-the-middle
> слишком высоки по сравнению с ценностью передаваемой информации. А
> сниффер запустить ему ничего не стоит.

Проблема в том, что СУЩЕСТВОВАНИЕ такой прокси заметно снижает
затраты на игру в man-in-the-middle для кого угодно. В любом месте.
Поэтому, в частости, реализация этой прокси будет крайне дорогой, так как авторы
протокола об этом позаботились.

Кроме того, если допустим, директивным приказом шефа постановлено не
обращать внимание на несоответствие сертификатов, кранейне удешевляется
задача поиграть в man in the middle ДЛЯ ПОЛЬЗОВАТЕЛЕЙ ДАННОЙ КОНТОРЫ.

И еще мы, заинтересованные в безопасности HTTPS у себя, должны всячески
загнобить идею реализовать такую прокси. Дабы ее исходники не утекли к
злобным взломщиакам;

-- 
Victor Wagner			vitus@ice.ru
Chief Technical Officer		Office:7-(095)-748-53-88
Communiware.Net 		Home: 7-(095)-135-46-61
http://www.communiware.net      http://www.ice.ru/~vitus

Reply to:

Follow-Ups:
- Re: Re: Как смотреть HTTPS
  - From: Pavel Ammosov <apavel@badger.wapper.ru>
- Re: Как смотреть HTTPS
  - From: Eugene <et@kaluga.ru>

References:
- Re: Как смотреть HTTPS
  - From: Dmitry Astapov <adept@umc.com.ua>
- Re: Как смотреть HTTPS
  - From: mss@mawhrin.net (Mikhail Sobolev)
- Re: Как смотреть HTTPS
  - From: Vlad Sirenko <vlad_s@ukr.net>
- Re: Как смотреть HTTPS
  - From: mss@mawhrin.net (Mikhail Sobolev)
- Re: Как смотреть HTTPS
  - From: Dmitry Astapov <adept@umc.com.ua>
- Re: Как смотреть HTTPS
  - From: mss@mawhrin.net (Mikhail Sobolev)
- Re: Как смотреть HTTPS
  - From: Victor Wagner <vitus@ice.ru>
- Re: Как смотреть HTTPS
  - From: alexey.vyskubov@nokia.com (Alexey Vyskubov)
- Re: Как смотреть HTTPS
  - From: Dmitry Astapov <adept@umc.com.ua>
- Re: Как смотреть HTTPS
  - From: alexey.vyskubov@nokia.com (Alexey Vyskubov)

Prev by Date: Re: framebuffer
Next by Date: Re: iptables
Previous by thread: Re: Как смотреть HTTPS
Next by thread: Re: Re: Как смотреть HTTPS
Index(es):
- Date
- Thread