Слабости HTTPS. Часть 1

[ianzag]

Это прекрасно когда люди открывают для себя wireshark :)

[foxin]

Вот вы смеётесь, а когда я говорю коллегам, что игрок может посмотреть весь трафик между игровым клиентом и сервером — на меня смотрят огрооомными глазами.

[Nikobraz]

Представляю глаза игрока, если там текстовый протокол без шифрования

[APXEOLOG]

Сейчас модно все пускать по HTTPS, как уже было сказано в статье — считается что это достаточно. Это действительно достаточно от MITM, но совершенно не мешает игроку с Fiddler'ом. Я раньше для развлечения писал ботов для многих таких игрушек (обычно мобильные или браузерные), делалось все элементарно

[POPSuL]

Еще немного, и узнают про SNI :)

[gto]

А разве ssl c 2015-го не tls?

[dhound]

нет. TLS это новая версия SSL протоколов. старые версии SSL протокола всё еще поддерживаются, хотя это будет выстрел себе в ногу. некоторые пользователи в первую очередь обращают внимание на то, какие версии SSL и TLS запрещены для использования.

[FSA]

Простите, а кто в здравом уме будет включать эти старые версии SSL у себя на сервере?

[vesper-bot]

Пораньше вроде, TLS1.0 вышел «первый раз» аж в 1999м. А вот то, что SNI пока ещё ходят открытым текстом — это факт (TLS1.3 это намеревается исправить).

[ColdPhoenix]

я что-то не припомню чтоб кто-то говорил что HTTPS прячет факт обмена данными...

[Alexey2005]

Особенно напрягает, что судя по последним тенденциям браузеры скоро простой http вообще поддерживать не будут, что сильно увеличит порог входа для новичков и снизит устойчивость сайтов (если сайт на https, его нельзя один раз настроить и забыть на 10 лет, а нужно постоянно контролировать, что там происходит с сертификатами).
Повторяется ситуация с электронной почтой. Если лет 15 назад почтовый сервер можно было поднять без особых проблем, то сейчас настроить почтовик, который мог бы успешно отправлять почту на тот же gmail, это чрезвычайно сложная задача.

[AlexFTF]

А что там надо контролировать с сертификатами? Let's Encrypt, certbot… и что там контролировать… тем более уже сейчас хостинги это делают бесплатно и быстро, нужна только заявка от пользователя.

[Akdmeh]

Уже сейчас существуют плагины для систем управления сайтами, которые все автоматизируют в несколько кликов. Просто ставите галочку «включить https сайт, переводить трафик с http на https, включить HSTS, сертификат Let's Encrypt» — и все, сайт работает на https.
В чем сложность?
Если нужно Let's Encrypt не используя панель — консольная команда не намного сложнее.
Так что все стало наоборот проще и дешевле.

[geher]

Представьте картину — Let's Encrypt внезапно изменяет порядок получения сертификатов. Или вообще перестает выдавать сертификаты, или вдруг какой-нибудь хром перестанет доверять сертификатам от Let's Encrypt.
В свете некоторых новостей это все не выглядит таким уж и невозможным.

[hahenty]

Автоскрипт поменяет сам себя и продолжит писать в неизменившуюся конфигурацию сервера? Автоскрипт ещё и сам проследит за доверенностями, и при нарушениях может поменять для себя источник ключей, пусть даже это будет первый ключ от гугла.

[FSA]

Добро пожаловать в 2018 год. Я уже года два как пользуюсь Let's Encrypt. Ставил его на FreeBSD, Gentoo, Ubuntu, Debian. Последние версии рекомендуемого клиента certbot на столько развились, что даже если у вас nginx, то он найдёт все твои домены и предложит выбрать для каких из них тебе надо будет получить сертификат. Все необходимые конфиги будут прописаны автоматически. Дальше просто в cron прописываешь задачу на обновление сертификатов и больше о них не вспоминаешь. Ну, или если такой ленивый, то просто заходишь на сервер, когда тебе приходит письмо и руками запускаешь certbot renew и дёргаешь веб-сервер.

[FSA]

От дистрибутива зависит. У меня, вроде, на Gentoo не добавился. На других да, сам добавляет себя в cron.

[nazarpc]

А где слабости HTTPS? Не вижу ни одной, всё работает как и задумывалось.

[firedragon]

Что составляет 99% передаваемой по сети информации и с какой долей вероятности болванку свежего дебиана будут качать миллионы пользователей.

Впрочем вместо болванки можете подставить патч, скрипт, ролик или фильм.

[VolCh]

Вероятно, 99% составляет сейчас видеоинформация, 99% которой в шифровании с точки зрения пользователя не нуждается, так как не содержит его секретов.

[dmitry_dvm]

Хм, я думал https для того чтобы зашифровать передаваемые данные, а не сам факт посещения сайта. Кажется автор слегка за уши притянул проблему.

[myxo]

проблема не в том, что https не скрывает факт посещения сайта, а то, что многие люди это не понимают и думают, что если https, то можно вообще ни о чем не волноваться. Собственно эту проблему автор и пытается решить.

[firedragon]

В общем то он и это не делает. Системы DPI вполне себе успешно заглядывают внутрь, а экзабайты мусора передаются по сети и должны хранится на винчестерах провайдеров, причем за наши деньги

[Chupaka]

Вот и надо учить людей тому, что https — это способ убедиться, что страница пришла к тебе с оригинального (не подставного) сервера и не была модифицирована по пути. Для этого не обязательно на низком уровне разбирать, как же этот https работает =)

[VolCh]

«оригинального» вводит в заблуждение. «с того, который указан в адресной строке».

[Chupaka]

Ночью не смог вспомнить слово "легитимного"

[robert_ayrapetyan]

Тут вся интрига во второй части, интересно, что нам поведают? Неужели что-то из серии про не зашифрованные заголовки TCP\IP пакетов…

[Chupaka]

Подозреваю, MitM. Может, Fiddler какой.

[Twost]

сразу видно, что CISSP)

жду с нетерпением вторую часть, там видимо будут зиродеи с burpsuite и импортированным сертификатом

[aamonster]

И надо было писать целую статью о том, что HTTPS — это не TOR?

[malishich]

Не все в этом разбираются. Я например до сих пор не понимаю механизмов работы HTTPS, подвержен ли он атаками MITM и какие технические разновидности у этого HTTPS. Кстати о TOR я тоже вообще ничего не знаю, но почитал бы в рамках подобной статьи «для чайников».

[firedragon]

Если сильно упрощать, то это труба для ваших данных, но почему то люди думают что данные внутри этой «трубы» зашифрованы, и радуются как дети видя «зеленый замочек»

[gto]

https подвержен mitm аттакам только если у аттакующего есть возможность создавать трастовые сертификаты. Но на этот случае есть HPKP на стороне сервера (хотя из моей практики с ним больше проблем чем пользы).

[firedragon]

Нужно покопатся в прошивках «брендированных» телефонов, скорее всего там стоят сертификат оператора связи.
Так что режь, вставляй, фильтруй и не гусей а трафик пользователя.