Re: Как смотреть HTTPS
Victor Wagner wrote:
On 2002.10.28 at 11:14:47 +0200, Alexey Vyskubov wrote:
HTTPS отличается от HTTP (с практической точки зрения) тем, что позволяет
юзеру быть увереным в том, что его браузер общается с конкретным
веб-сервером и поток данных между сервером и браузером не трогается ничьими
грязными руками.
Мы ставим посередине некий гипотетический https прокси, работающий так, как
было описано в оригинальном письме, и оба свойства идут лесом. Где я не прав?
Представь себе, что злоумышленнику нужно подсмотреть трафик между
клиентом и настоящим сервером. А доступ у него есть только к сети
снаружи прокси, и затраты на подмену сервера и игры в man-in-the-middle
слишком высоки по сравнению с ценностью передаваемой информации. А
сниффер запустить ему ничего не стоит.
Проблема в том, что СУЩЕСТВОВАНИЕ такой прокси заметно снижает
затраты на игру в man-in-the-middle для кого угодно. В любом месте.
Поэтому, в частости, реализация этой прокси будет крайне дорогой, так как авторы
протокола об этом позаботились.
Добрый день!
Мне кажется, что в данном случае речь идет не о чужом человеке
посредине, а о дополнительном сервисе на стороне клиента, где
нет чужих, поскольку все свои :-) в одной организации. И этот
прокси тоже свой.
Кроме того, если допустим, директивным приказом шефа постановлено не
обращать внимание на несоответствие сертификатов, кранейне удешевляется
задача поиграть в man in the middle ДЛЯ ПОЛЬЗОВАТЕЛЕЙ ДАННОЙ КОНТОРЫ.
А если посмотреть вот так - на соответствие сертификатов удалённых
серверов должен обращать внимание сам прокси, а клиент должен доверять
своему прокси?
И еще мы, заинтересованные в безопасности HTTPS у себя, должны всячески
загнобить идею реализовать такую прокси. Дабы ее исходники не утекли к
злобным взломщиакам;
А вот в настройках Мозиллы есть SSL Proxy - это не оно? Может, эта идея
уже реализована?
С уважением,
Евгений.
Reply to: