Https
раскрыть ветку (43)
Как я понимаю https передает шифрованные данные, а http весьма прозрачен и достаточно легко подглядеть в его данные.
раскрыть ветку (42)
раскрыть ветку (19)
Ну смотри. К тебе летит почтовый голубь с запиской. В записке текст: "встречаемся завтра в 8 в кафе на Ленина, 32. Я буду в жёлтой рубашке". Это http. А если в записке что-то вроде "слоны идут на север", то это https
раскрыть ветку (17)
Нет, если это https, то в записке написано цдмщбцирдядицдптуошыдаидцзслтудещпдцьащущьктикщщул
раскрыть ветку (11)
раскрыть ветку (2)
раскрыть ветку (1)
Ваше представление о VPN видимо находиться в рамках обхода блокировок ютуба. На деле эта технология имеет больше применений и не подразумевает обязательный "заворот трубы на северный полюс".
раскрыть ветку (1)
А Штирлиц живет этажом выше, но его нет дома - он ушел мост взрывать! А своим в буденовке передайте, чтоб пароль сменили - заебали!
Фуфлыжник, короче говоря
http:
1)
- вызываешь курьера, даешь ему бумажку с текстом:
"Офису_провайдера от Ленина-д128-кв42:
а какой адрес у сайта pornhub.cоm?"
- курьер едет в Офис_провайдера, отдает бумажку секретарю. секретарь смотрит на доску: такого сайта тут нет, сейчас позвоню в москву. дозвонилась, сказали Кирова-д70-оф25. записала на доску "pornhub.cоm - это Кирова-д70-оф25" чтобы поменьше москву беспокоить и не тратить время на звонки (а утром еще уборщица доску вытрет)
- секретарь пишет на бумажку и через курьера отправляет ее тебе
"Ленина-д128-кв42 от Офис_провайдера:
адрес pornhub.cоm - Кирова-д70-оф25"
2)
- ты отдаешь курьеру бумажку с текстом
"Кирова-д70-оф25 от Ленина-д128-кв42:
дайте мне вашу стартовую страницу"
- курьер везет его, по пути заезжает в офис, стирает "Ленина-д128-кв42" вместо него пишет Офис_провайдера и отвозит бумажку по адресу Кирова-д70-оф25
- курьер получает от сервера бумажку с ответом
"Офису_провайдера от Кирова-д70-оф25:
добрый день, анонимный пользователь. для входа на сайт представьтесь и назовите ваш пароль"
- по пути курьер опять заезжает в офис и исправляет Офис_провайдера на Ленина-д128-кв42, в итоге получаешь бумажку с текстом:
"Ленина-д128-кв42 от Кирова-д70-оф25:
добрый день, анонимный пользователь. для входа на сайт представьтесь и назовите ваш пароль"
- ты пишешь на бумажке и отдаешь ее курьеру:
"Кирова-д70-оф25 от Ленина-д128-кв42:
мой логин anton1990, пароль QWEasd123"
- курьер относит серверу эту бумажку, возвращает бумажку с текстом (два раза заехав в офис и исправив адрес), ты получаешь бумажку с текстом
"Ленина-д128-кв42 от Кирова-д70-оф25:
привет, anton1990. что хочешь посмотреть?"
- ты через курьера передаешь на бумажке:
"Кирова-д70-оф25 от Ленина-д128-кв42:
фотки Саши Грей"
- сервер выдает фотки курьеру, он приносит их тебе
-----
https:
1) полностью повторяется с http
2)
- ты отдаешь курьеру бумажку с текстом
"Кирова-д70-оф25 от Ленина-д128-кв42
давайте установим защищенное соединение, я знаю шифры Бабочка и Лава"
- курьер от сервера приносит бумажку с текстом
"Ленина-д128-кв42 от Кирова-д70-оф25
давай использовать Бабочку
вот еще заверенная у нотариуса открытая половина моего пароля Querty1 (если вы ее используете для шифрования, расшифровать смогу только я, т.к. у меня вторая половина которую никто не знает)"
- ты шифруешь текст с помощью полученного пароля "бабочка так бабочка, проверка связи. вот моя открытая половина пароля 123qwe", записываешь на бумажку:
"Кирова-д70-оф25 от Ленина-д128-кв42
98в789пвапвалрор4№0е098№мгмпавпва0аываывыв98выва*№900"
- от сервера получаешь бумажку с текстом:
"Ленина-д128-кв42 от Кирова-д70-оф25
0498434а98ра34т83890344а3"
расшифровываешь получается текст "ура проверка успешная!"
...ну дальше тоже самое что в http только защифровано (и фотки саши грей), офис и курьер видят только:
"Ленина-д128-кв42 от Кирова-д70-оф25 ававы"лроа";34аыврло%ыа34%34врлоаыл5534роаывап3434вл345рвыр"
"Кирова-д70-оф25 от Ленина-д128-кв42
к897к2а340934вы4809аыпав34в809аыв089а34вы098а535433455334534534445вы0909"
-----
да, но логи https остаются
никто не увидит что за видео вы открывале на странице порнохаба для геев, но то что вы там были из логов будет вполне очевидно)
раскрыть ветку (21)
Так суть не в логах. В любом случае, на конечном устройстве, что на клиенте, что на сервере, информация о посещении остаётся. https стоек к MITM атакам, поэтому на промежуточных узлах эта инфа недоступна
раскрыть ветку (16)
mitm вполне возможен и при https, собственно именно после распространения https и появились mitm (возникла в них необходимость), а в http можно было просто снифать трафик, данные гоняются в открытом виде.
раскрыть ветку (15)
Расскажешь, как же использовать MITM с https? Очень хочется едко подьебать, но вдруг я реально чего то не знаю
раскрыть ветку (14)
Таким некоторые говнобезопаснические хреновины занимаются, ну и на этом принцип и построен. Идёт запрос к какому-то сайту, митм перехватывает запрос, подменяет своим сертификатом (уже не помню что там за универсальный был под все домены, какой-то хитрый вилдкард скорей всего, хотя возможна и какая-то хитрая перебивка хэдеров), и форвардит на запрашиваемый сайт уже со своим открытым ключом, ответ возвращает точно так же через себя только дешифровка/зашифровка идёт в обратном направлении. А пользователь что? Полезет проверять действительно ли сертификат не только валидный, но и действительно принадлежит тому сайту который он запрашивал? Браузер открыл, в строке зеленый замочек - значит норм, можно идти. А в это время кто-то "посередине" всё видит в открытом виде. Так что да, если на работе вы вынуждены ходить через прокси, то высока вероятность, что этот прокси подменяет сертификаты и кто-то из безопасников уже знает ваш пароль от аккаунта на порнхабе.
раскрыть ветку (2)
спасибо за подробный ответ. Раньше, когда первый коннект устанавливался через HTTP, а уже затем HTTPS, то такое работало. Сейчас уже не получится, из за HTTPS + ECH. Так что всё же позволю себе едкий подъёб). Возможно только если тебе дали рабочий ноутбук, где уже поставили корневой сертификат. Но если ты положил пароль от сейфа на красной площади, разве это проблемы сейфа?
едкий подъёб
собственно именно после распространения https и появились mitm (возникла в них необходимость)
И прости, вот это вот неправда. Сначала http имел лютую проблему с MITM, а дальше уже появились первые версии https, как первая попытка борьбы с этим.
раскрыть ветку (1)
Справедливое замечание, поправляюсь: после распространения https понадобилась такая реализация mitm. Ну а если совсем в глубину копать - mitm появились задооолго до даже до компьютеров, не то что http.
Если дали рабочий ноутбук, то велика вероятность, что на него навернули и общие групповые политики, которые не только позволяют быстро и удобно что-то там, но и суют свои сертификаты куда их не просишь. С этим только работу менять.
Насчет ECH - слышал только краем уха, но сколь я помню нужно не только чтобы клиент у себя в браузере это включил (или хотя бы не трогал, ECH вроде по умолчанию сейчас включен), но и чтобы со стороны домена была добавлена соответствующая DNS запись. Когда это станет обязательным - вопросов нет, это будет офигенчик! Но такие решения быстро не проталкиваются.
у нас хотели так - https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_a...
не получилось, не срослось
раскрыть ветку (10)
Чой-та не срослось? Законодательно все около- или просто гос-учреждения обязаны ставить сертификат ЕШДИ уже давно. sts.kz
Вот и прям законный MITM, ебать его в сраку.
Собсна этой хуйне уже много лет
раскрыть ветку (8)
да, но если я поверх КТшного интернета врубаю свой ВПН - ЕШДИ снова ничего не знает. поэтому и не срослось )
раскрыть ветку (6)
Ну ессесна. Многие учреждения, которых админю этим пользуются. Только тссссс
ВПН только ipsec, правда
раскрыть ветку (5)
раскрыть ветку (4)
Да ихние админы походу в курсе такого обхода.
В ЕШДИшном официальном открытом для всех телеграм-чате многие местечковые админы обсуждают, как обойти ограничения. Стирают ответы на такие сообщения не спеееешааааа. И не банят )
раскрыть ветку (3)
учитывая в целом крайне низкий уровень профессионализма в таких организациях - чувачки просто учатся )
раскрыть ветку (2)
учитывая в целом крайне низкий уровень профессионализма в таких организациях
)))))))) я там собеседования по приёму проводил, хотя и не работал там, и не собирался. Прост попросили. Там такие, ээээээ, не очень образованные приходили, зато от кого-то, что просто диву давался, что их оказывается по-итогу на работу взяли. Вопросы потом по качеству работы у меня отпали сами собой.
И да, они ничему не учатся. Пока не пнут, то и не полетят. Некоторые даже прочитать своё резюме не по слогам не могли. Пздц прост
раскрыть ветку (1)
Так разве по хттпс не все страницы скрываются? Или почему кто-то может узнать о посещении какого-то раздела сайта, но не просмотр какой-то конкретной страницы?
Извините, если глупости спрашиваю. Не шарю в этих ваших программированиях.
раскрыть ветку (1)