Re: SEO a HTTPS

From: Tomas Kapler <kapler (zavinac)>
Date: 07. 08. 2006, 11:28 CEST
re: Prosim, vysvetlete mi, jak dokazete rozsifrovat sniffnuty provoz. Je
> vam, doufam, jasne, jak se SSL brani pomoci certifikatu utokum typu
> man-in-the-middle
je to offtopic, komentuji jen proto, abych to uzavřel, případně si
můžeme psát mimo konferenci.
Pan Holota má v tomto tak trochu "pravdu", jde o útok popsaný dobře na
stránkách programu, který jej dokáže snadno provést za pár vteřin:
http://www.oxid.it/ca_um/topics/apr-https.htm případně ještě
http://www.oxid.it/ca_um/topics/apr-ssh-1.htm
Nejde ani tak o to, že by útočník rozšifroval data zabezpečená
kvalifikovaným certifikátem, ale o to, že vytvoří man in the middle
spojení, v případě, že uživatel požaduje https server, nástroj stáhne
obsah https stránky, vymění certifikát, zašifruje vlastním
nekvalifikovaným certifikátem a pošle vám. Samozřejmě, uživatel
dostane hlášku, že je použit špatný certifikát, ale podle pana Holoty
ze Seznamu to při jejich testech odkleplo plných 100% lidí a já mu
věřím, lidi jsou prostě holota (pardon, neodpustil jsem si vtípek ;)
nemyslím to nijak špatně)
Nástroj pak použije vámi zadané přihlašovací údaje na původní stránku
a vám pak vrátí opět jejich kopii s vlastním certifikátem.
Takže ve skutečnosti vlastně nemusí snifnutý provoz nijak složitě
rozšifrovávat, dostanete platné heslo i platný obsah
TK
Received on Mon, 7 Aug 2006 11:28:35 +0200

This archive was generated by hypermail 2.1.8 : 07. 08. 2006, 11:28 CEST