OT: Vysosání souborů z tcpdump/wireshark capture

[Jindroush]

Je stale stejne absurdni, cituji:

> This will of course cause the client browser to display an error:
> [pic]
>
> In an enterprise environment you’ll probably want to generate the
> certificate using a CA that the clients already trust. For example,
> you could generate the certificate using microsoft’s CA and use
> certificate auto-enrolment to push the certificate out to all the
> clients in your domain.


Takze plati to, co jsem rikal - okamzite to provede kraval. Pokud tedy 
chcete to mitm provozovat v ramci site proti vlastnim klientum, musite 
jim nacpat vlastni root ca.

Obejiti HTTPS/SSL jednoduse pres MitM neni mozne, a prave proto tyto 
technologie existuji.


On 29.7.2012 0:12, Jaroslav Lukesh wrote:
> Jakkoli se vám může zdát některé moje tvrzení absurdní, já nekecám.
> Akorát si někdy nemůžu vzpomenout, kde jsem k tomu přišel. Naštěstí
> pro mně mi google na třetí pokus vyplivnul toto.
>
> http://blog.davidvassallo.me/2011/03/22/squid-transparent-ssl-interception/
>
>
>
> ----- Původní zpráva ----- Od: "Jindroush" <kubecj na asw.cz>
>
>
> Nelze. Vzdy se jedna o retezec podepsanych certifikatu (chain),
> vychazejici z korenovych certifikatu (root cert). Browser (ssl
> knihovna) ma seznam trusted korenovych certifikatu. Na skutecny,
> nerozpoznatelny MITM byste musel mit a) faked cert pro organizaci X -
> vygeneruje kdokoli kdykoli b) podepsany korenovym certifikatem,
> kteremu veri zarizeni - nevygeneruje nikdo (s pravdepodobnosti
> blizici se 100%, ale ne 100% :) ) c) v pripade echt paranoidnich
> setupu, napr. pri pouzivani Chrome ani toto uz nepomuze, viz cert
> pinning.
>
>
> Takze moje tvrzeni - zarizeni, ktere se necha opit rohlikem ve forme
> faked mitm certu je debyl a zaslouzi si to. Zadne rozumne
> zarizeni/knihovna toto neumozni.
>
> On 28.7.2012 21:33, Jaroslav Lukesh wrote:
>> Ano, toto si většina té menšiny lidí mylně myslí. Jenže certifikát
>> lze nahradit jiným, tzv. divokým.
>>
>> ----- Původní zpráva ----- Od: "Jindroush" <kubecj na asw.cz>
>>
>>
>> Jak nepozna? Okamzite prestanou sedet certifikaty a zarizeni, ktery
>> si je nehlida, je proste debyl ;)
>>
>> Klicova slova budou SSL MITM.
>>
>> On 28.7.2012 20:05, Jaroslav Lukesh wrote:
>>> i https lze obejít pomocí transparentní https proxy (přesný
>>> buzzword si nepamatuji), třeba takový squid to umí a většina
>>> klientů to ani nepozná.
>>>
>>>
>>> ----- Původní zpráva ----- Od: "Na" <navrhpcb na gmail.com>
>>>
>>>
>>> az se o vas dozvědí, tak přejdou na https :-)
>>>
>>> Jak si to zarizeni udela session cokies? V zarizeni je nejspise
>>> linux a nejde to rootnout a odchytit ten soubor primo v
>>> zarizeni?
>
> _______________________________________________ HW-list mailing list
> - sponsored by www.HW.cz Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>


-- 
Jindroush (kubecj na avast.com)
http://www.kostky.org - Pro fany stavebnic LEGO.