Я использую gmail с работы, но мне нужно ввести пароль для прокси при доступе к первой веб-странице. Пароль запрашивается из браузера. Я получаю сертификат от прокси-сервера, который должен принять, чтобы сделать подключение к Интернету.
Можно ли отслеживать мое HTTPS-соединение между gmail и браузером в этой ситуации?
Fiddler описывает это следующим образом:
Q: Протокол HTTPS был разработан для предотвращения просмотра трафика и его несанкционированного доступа. Учитывая, что, как Fiddler2 отлаживает HTTPS-трафик?
A: Fiddler2 полагается на подход "человек-в-середине" к перехвату HTTPS. В своем веб-браузере Fiddler2 утверждает, что является защищенным веб-сервером, и веб-серверу Fiddler2 имитирует веб-браузер. Чтобы притвориться веб-сервером, Fiddler2 динамически генерирует сертификат HTTPS.
Сертификату Fiddler не доверяет ваш веб-браузер (поскольку Fiddler не является доверенным корневым центром сертификации), и, следовательно, пока Fiddler2 перехватывает ваш трафик, вы увидите сообщение об ошибке HTTPS в вашем браузере, например:
отслеживаются? Ну, даже если https шифрует трафик, вы все еще знаете IP-адрес обеих сторон (gmail и браузер). HTTPS не решает эту проблему, но другое сочетание криптоконверсии создало The Onion Router (TOR), что делает невозможным поиск обоих серверов и клиентов.
В "обычных" условиях, когда злоумышленник пытается использовать MITM HTTPS, ваш браузер должен выдать ошибку сертификата. В этом весь смысл SSL, поддерживаемый PKI. ОДНАКО в 2009 году Moxie Marlenspike дал убийцу Blackhat, в котором он мог MITM HTTPS без предупреждения. Его инструменты называются SSLStrip, и я настоятельно рекомендую посмотреть это видео.
Хорошее решение для SSLStrip было разработано компанией Google. Его называют STS, и вы должны включить его в все своих веб-приложений. В настоящее время sts поддерживается только Chrome, но Firefox работает над поддержкой этой функции. В конечном итоге все браузеры должны его поддерживать.
Да, они могут. Вы можете это увидеть сами, загрузив Fiddler и используя его для дешифрования трафика https. Скрипач выпускает собственный сертификат и выступает в роли мужчины. Вам нужно будет просмотреть сертификат в своем браузере, чтобы узнать, действительно ли он выпущен gmail.
Кажется, что перезаключение является слабым местом в TSLv1 (см. повторная перезагрузка TLS. Более плохие новости для SSL).
Как указано в других ответах (читайте также здесь), чтобы это действительно работало "посередине" (т.е. исключая случаи, когда захват происходит на одном конечных точек, внутри браузера или внутри веб-сервера) должен быть установлен какой-то прокси-сервер, который говорит с вашим браузером и сервером, притворяясь, что обе они являются другой стороной. Но ваш браузер (и ssl) достаточно умен, чтобы понять, что сертификат, который прокси-сервер отправляет вам ( "говоря: я gmail" ), является незаконным, т.е. Не подписан доверенным корневым центром сертификации. Тогда это будет работать только в том случае, если пользователь явно принимает этот ненадежный сертификат или если CA, используемый прокси, был вставлен в доверенный реестр ЦС в его браузере.
В целом, если пользователь использует чистую/надежную установку браузера, и если он отказывается от сертификатов, выданных ненадежными властями, мужчина "посередине" не может расшифровать связь https.
Он не может быть отслежен между веб-сервером gmail и вашим компьютером, но как только он находится внутри компьютера, его можно отследить. Я не понимаю, как два человека утверждают, что https можно отслеживать с помощью mitm, поскольку вся цель https заключается в предотвращении таких атак.
Дело в том, что все сообщения уровня HTTP зашифрованы, а mac-ed. Из-за цепи доверия сертификатов вы не можете подделать сертификат, поэтому не должно быть возможности выполнить человека посередине.
Те, кто утверждают, что это возможно, можете ли вы дать подробную информацию о том, как и почему это возможно, и о том, как обойти существующие контрмеры?