Подключения HTTPS могут быть угнаны с атакой "человек посередине"?
Я использую Gmail от работы, но я должен ввести пароль для прокси при доступе к первой веб-странице. Пароль спрашивают из браузера. Я получаю сертификат от прокси, который я должен принять, чтобы заставить Интернет-соединение работать.
Может мое Подключение HTTPS, между Gmail и браузером, быть прослеженным в этой ситуации?
6 ответов
Fiddler описывает это так:
Q: Протокол HTTPS был разработан для предотвращения просмотра и взлома трафика. Учитывая это, как Fiddler2 может отлаживать HTTPS-трафик?
A: Fiddler2 полагается на подход «человек посередине» к перехвату HTTPS. Для вашего веб-браузера Fiddler2 утверждает, что он является безопасным веб-сервером, а для веб-сервера Fiddler2 имитирует веб-браузер. Чтобы притвориться веб-сервером, Fiddler2 динамически генерирует сертификат HTTPS.
Ваш веб-браузер не доверяет сертификату Fiddler (поскольку Fiddler не является доверенным корневым центром сертификации), и, следовательно, пока Fiddler2 перехватывает ваш трафик, вы увидите сообщение об ошибке HTTPS в своем браузере, например:
Его нельзя отследить между веб-сервером Gmail и вашим компьютером, но как только он окажется внутри компьютера, его можно будет отследить. Я не понимаю, как два человека утверждают, что https можно отслеживать с помощью mitm, поскольку вся цель https - предотвратить такие атаки.
Дело в том, что все сообщения уровня HTTP зашифрованы и защищены Mac. Из-за цепочки доверия сертификатов вы не можете подделать сертификат, поэтому не должно быть возможности выполнить человека посередине.
Те, кто утверждает, что это возможно, не могли бы вы подробно рассказать о том, как и почему это возможно и как обходятся существующие контрмеры?
отслеживается? Даже если https шифрует трафик, вы все равно знаете ip-адреса обеих сторон (gmail и браузера). HTTPS не решает эту проблему, но другая смесь шифрования создала The Onion Router (TOR), который делает невозможным определение местонахождения как серверов, так и клиентов.
В "нормальных" условиях, когда злоумышленник пытается MITM HTTPS, ваш браузер должен выдать ошибку сертификата. В этом весь смысл SSL, поддерживаемого PKI. НО в 2009 году Мокси Марленспайк (Moxie Marlenspike) выступил с убийственным докладом Blackhat, в котором он смог провести MITM HTTPS без предупреждения. Его инструмент называется SSLStrip, и я настоятельно рекомендую посмотреть это видео.
Хорошее решение для SSLStrip было разработано компанией Google. Оно называется STS, и вы должны включить его на всех ваших веб-приложениях. В настоящее время sts поддерживается только в Chrome, но Firefox работает над поддержкой этой функции. В конечном итоге все браузеры должны поддерживать ее.
Да, могут. Вы можете убедиться в этом сами, загрузив Fiddler и используя его для расшифровки трафика https. Fiddler выдает собственный сертификат и действует посередине. Вам нужно будет просмотреть сертификат в вашем браузере, чтобы узнать, действительно ли он выпущен Gmail.
Похоже, что повторное согласование - слабое место в TSLv1 (см. TLS renegotiation attack. Больше плохих новостей для SSL).
Как указано в других ответах (читайте также здесь ), чтобы это работало действительно «посередине» (то есть за исключением случаев, когда захват происходит в одной из конечных точек, внутри браузер или внутри веб-сервера), должен быть установлен какой-то прокси, который обращается к вашему браузеру и к серверу, притворяясь, что оба они находятся на другой стороне. Но ваш браузер (и ssl) достаточно умен, чтобы понять, что сертификат, который вам отправляет прокси («говоря: я - gmail»), является незаконным, то есть не подписан доверенным центром сертификации корневых сертификатов. Тогда это будет работать только в том случае, если пользователь явно принимает этот ненадежный сертификат или если ЦС, используемый прокси-сервером, был вставлен в реестр доверенных ЦС в его браузере.
Таким образом, если пользователь использует чистую / надежную установку браузера и отказывается от сертификатов, выданных ненадежными органами, человек «посередине» не может расшифровать https-соединение.