Комментарии 35
Кому, как мне, лень смотреть видео:

SSLStrip:
sslstrip — это инструмент, который незаметно перехватывает HTTP трафик в сети, следит за HTTPS ссылками и редиректами, а затем сопоставляет эти ссылки их HTTP двойникам или омографически сходным HTTPS ссылкам.
HSTS:
HSTS (HTTP Strict Transport Security) — механизм, принудительно активирующий защищённое соединение через протокол HTTPS… Механизм использует особый заголовок Strict-Transport-Security для принудительного использования браузером протокола HTTPS даже в случае перехода по ссылкам с явным указанием протокола HTTP

Учитывая, как нынче браузеры помечают http-сайты, довольно сложно не заметить в адресной строке предупреждение, особенно в момент работы с финансами… Так что простой внимательности против sslstrip должно хватать.


Что до HSTS, то заблокировать его возможно только если это первое посещение сайта, что так же уменьшает шанс успешной атаки.


Кстати, любопытно, насколько плагин HTTPS Everywhere эффективен против таких атак?

Это-то понятно. Не понятно другое — не перехватывает ли TOR траффик государство, которое этот самый TOR создало?
А не перехватит ли ЛЮБОЙ интернет-трафик государство, которое этот самый Интернет создало?
Вообще-то, если что, это была шутка юмора уровня «а не отключит ли нам электиричество государство, создавшее электроэнергетику»
Ну так не видно особой проблемы — надо ходить на TLS/SSL сайты и все будет нормально. А если требуется обмениваться секьюрной информацией через http — то так оно не работает. Не важно, TOR, не tor…

Надо… ходить… Вы, наверное, не в курсе, но без HSTS preloaded list запрос сначала пойдет на 80-ый порт. И всё, приехали. Дальше можно сделать редирект на ресурс под своим контролем и творить всё, что потребуется.

Нет конечно же, но Allister2 написал как "надо" делать. Если делать "как надо", то проблемы дейстивтельно нет.


Операторы нод скорее всего ловят не очень грамотных юзеров, которых большинство.

без HSTS preloaded list запрос сначала пойдет на 80-ый порт

Разве не это исправляет плагин HTTPS Everywhere, который, между прочим, в Tor Browser включен по умолчанию?

Аддон-то это исправляет. Но стоит полагать, что часть юзеров его могут отключать (потому как есть сайты, которые из-за этого начинают криво работать — типа там на сервере-то поддержка https есть, но сам сайт не готов с https работать). Плюс, я не оператор такой выходной ноды. Вполне может быть, что есть и другие юз.кейсы. Раз их так много, значит это имеет для них смысл.

Вы, наверное, не в курсе, но без HSTS preloaded list запрос сначала пойдет на 80-ый порт.

Если не указывать протокол браузер вероятнее всего будет использовать http и тогда да в начале пойдёт на 80-ый порт. А если ручками указать протокол https, будет использоваться только 443 порт (если вы и порт ручками не указали). Причём это весьма не сложно (всего дополнительно 8 символов и то если вспомнить, что слеши не обязательны — 6 символов, https:example.com).


Но вот это "вероятнее всего" зависит от множества факторов:


Для начала в "большой тройке" браузеров (Chromium, Firefox, Safari), HSTS preload list поставляется изначально далеко не пустой. Более того этот список с обновлениями браузеров подкачивается/синхронизируется. Кстати производитель вполне может в этот список на этапе поставки браузера добавить дополнительные записи.


Так же этот список локально обновляется сайтами с HSTS header и не значащимися в HSTS preload list — тут действительно первый заход будет на 80-ый порт, однако последующие уже на 443-ий.


Стоит отметить, что в выше указанный HSTS preload list жестко вшиты некоторые домены первого уровня (.dev, .app), а значит на сайты в этих gTLD браузеры заходят только на 443-ий порт, игнорируя вообще существование 80-го порта.


А вообще HSTS header де-факто уже признан устаревшим и ему на смену готовят HTTPSSVC DNS resource record. Это по сути замена сразу двух HTTP заголовков HSTS header и AltSvc header с интеграцией сюда ESNI.


В данной схеме устраняется та самая уязвимость первого захода с HSTS header. Главная идея в том, что браузер будет ходить на порты, указанные в DNS записи и по протоколам так же указанным в этой записи. Например, на ещё не посещённый сайт сразу на 443 порт так ещё по протоколу Quic или HTTP/3 и с применением ESNI.


Также рассматривается будущая (через 2-5+ лет) возможность признания протокола http устаревшим с дальнейшим выпиливанием из браузеров, по аналогии с протоколом ftp в этом году.

Причём это весьма не сложно (всего дополнительно 8 символов и то если вспомнить, что слеши не обязательны

Осталось чуть-чуть. Объяснить это всё массам пользователей и убедить их строго следовать этому подходу.

Осталось чуть-чуть. Объяснить это всё массам пользователей и убедить их строго следовать этому подходу.

Нет, ну если хочется ещё проще, поскорее и без объяснений всем массам, можно принудительно зашить в браузерах https-only или https с фолбеком на http.


А вообще эта проблема должна будет решиться с внедрением выше упомянутого HTTPSSVC DNS resource record. Если у домена есть данная запись, браузер строго следует правилам в ней и использует https соединения. Если такой записи нет, работает точно так же как сейчас (http-first).

tor
тор
биткоин
bitcoin
посмотри ролик
посмотри ролик
посмотри ролик
посмотри ролик

вам определённо стоило дописать что-то в духе «качай бесплатно без регистрации и смс»
TOR — это прекрасный инструмент для организации ssh в местах, где зарезан весь входящий трафик. Поднять VPN — это нужно много чего делать (VPN ведь нужно поднимать куда-то!), а создать сервис на нестандартном порту в TOR — значит за минуту организовать удаленный доступ к серверу в весьма нестандартных локациях.

Разумеется, когда ты на этом заработал денег. то можно и наркотики купить, но почему-то чаще всего они уходят на всякие материальные блага — новый нотубук, машина, оплата коммуналки в квартире за год (смешно, но подработку использую именно для этого :) )

В попу весь dark web — не нужен. Избегайте таких мест, где зарезан весь входящий трафик. Вы наверное что-то несанкционное делаете.

«Избегайте таких мест, где зарезан весь входящий трафик. » — например серверок на RPI на мобильном интернете? SSH туда настраивается за минту, реально, причем не надо никакого централизованного сервера.

Я из тех людей, кто, например, не рутует телефоны и потом не вырывает себе волосы на голове. Я себе даже на слабый ASUS VivoBook просто покую платную Win Pro и настраиваю Hyper-V для того, чтобы не ставить антивирус. Серверки на RPI и Ardunio мне тоже кажутся смешными потому что я лучше куплю "умный дом", чем буду с паяльником в заднице развлекаться весь отпуск. Если вам жалко 200 рублей в месяц на хостинг, то совершенно очевидно, что вам и торрент и тор нужны.

Серверки на RPI и Ardunio мне тоже кажутся смешными

А что смешного в сервере на RPI 4? Это не такая уж и слабенькая машина, идеальна для некоторых проектов.

я лучше куплю «умный дом», чем буду с паяльником в заднице развлекаться весь отпуск.

Ну если у Вас руки из задницы, то и паяльник где-то там же будет :) Очень многие вещи «купить» просто так практически невозможно или стоимость будет запредельная. Тем более, что паяльник то для RPI может и вообще не требоваться.

Если вам жалко 200 рублей в месяц на хостинг
Я не хочу поддерживать хостинг для чужого оборудования, за ним нужно следить, зачем мне это? Настроил TOR и всё.

то совершенно очевидно, что вам и торрент и тор нужны

И torrent и TOR — это инструменты. Иногда очень эффективные.

Эффективные для чего? RPI windows не поддерживает, а Linux хостинг можно купить за 200 рублей и там нет проблем с подключением. Torrent вам зачем? Красть фильмы и распространять краденую Windows(дистр арчлинукса весит мегабайт 500 с обвязкой рабочего стола). Если вы дарите ребенку высушенную булку хлеба с воткнутыми спицами на день рожденья и говорите, что это троллейбус — вас тоже не понять.

Эффективные для чего

Для управления оборудованием, установленным удаленно. Windows там не нужна, вот прямо совсем, хотя и поддерживается, к слову.

Linux хостинг можно купить за 200 рублей и там нет проблем с подключением

Мне каждому желающему удаленно цепляться к raspberry pi выдавать в нагрузку виртуалку? Зачем их плодить?

Torrent вам зачем? Красть фильмы и распространять краденую Windows

Мне он не нужен особенно, но вообще у меня сейчас стоят раздачи где-то на пару террабайт, с коллекциями всякого исторического материала, копирайт на который у нас в стране давно истек.

Если вы дарите ребенку высушенную булку хлеба

Разговор начался с того, что на базе TOR легко сделать ssh доступ к оборудованию без необходимости держать какие-то виртуалки и их администрировать (тем более, что они могут быть и недоступны из тех мест, где стоит RPI). Про торренты Вы это сами ударились в фантазии какие-то, непонятно зачем.

Да я стибусь просто. Мне все равно кажется неправильно, что вы через TOR это делаете. Когда работал в агентстве по сопровождению web для Газпрома были проблемы с доступом(VPN, шифрование и всякая фигня). Может быть TOR и решил бы часть проблем, но представил как бы безопасники отреагировали на такой подход.

Когда работал в агентстве по сопровождению web для Газпрома

Газпром — это плохая российская государственная компания, работать с ними для многих — зашквар. Там не про TOR надо думать, а про карму…

Зато платят неплохо за сайты с открытками опросами ко дню гонок формулы 1.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.