Re: OT: Vysosání souborů z tcpdump/wireshark capture

Na navrhpcb na gmail.com
Pondělí Červenec 30 09:02:14 CEST 2012 

tady se prece neresi komunikace 
Browser-verejny_server 
(kde skutecne je pouze na uživateli, aby s ověřil kam se připojuje a pres jaky certifikat), ale řeší se
Aplikace-privatni_server. A ta aplikace si prece vzdy kontroluje id certifikátu a to same muze udelat i server...

Ostatne pokud Browser-server bude vyžadovat certifikat uzivatele (neni to nejako podobne v komerční bance?), tak podle me zadny mitm neudelate, maximalne phishing na blbe uzivatele



Odesláno z iPadu

29. 7. 2012 v 21:55, "Jaroslav Lukesh" <lukesh na seznam.cz>:

> To je trochu špatný příklad, hodí se jen na velké firmy, kde se ten divoký certifikát natlačí v rámci vnitrofiremní politiky.
> 
> Ale kolik lidí zkoumá certifikát od nedůvěryhodné CA u běžných stránek? A kolik těch co tomu vůbec nerozumí? Takhle divoký certifikát povolíte jednou a máte povoleno nafurt.
> 
> Ještě dělají jedno řešení na firmy, kdy se místní CA dá do prohlížečů a pak squid generuje nedivoký certifikát pro každou doménu.
> 
> Jistě, šťoura toto odhalí, ale kolik to bude i z těch co tomu rozumí, prostě jen odkliknou otravné okno?
> 
> ----- Původní zpráva ----- Od: "Jindroush" <kubecj na asw.cz
> 
> 
>> Je stale stejne absurdni, cituji:
>> 
>>> This will of course cause the client browser to display an error:
>>> [pic]
>>> 
>>> In an enterprise environment you’ll probably want to generate the
>>> certificate using a CA that the clients already trust. For example,
>>> you could generate the certificate using microsoft’s CA and use
>>> certificate auto-enrolment to push the certificate out to all the
>>> clients in your domain.
>> 
>> 
>> Takze plati to, co jsem rikal - okamzite to provede kraval. Pokud tedy chcete to mitm provozovat v ramci site proti vlastnim klientum, musite jim nacpat vlastni root ca.
>> 
>> Obejiti HTTPS/SSL jednoduse pres MitM neni mozne, a prave proto tyto technologie existuji.
>> 
>> 
>> On 29.7.2012 0:12, Jaroslav Lukesh wrote:
>>> Jakkoli se vám může zdát některé moje tvrzení absurdní, já nekecám.
>>> Akorát si někdy nemůžu vzpomenout, kde jsem k tomu přišel. Naštěstí
>>> pro mně mi google na třetí pokus vyplivnul toto.
>>> 
>>> http://blog.davidvassallo.me/2011/03/22/squid-transparent-ssl-interception/
>>> 
>>> 
>>> 
>>> ----- Původní zpráva ----- Od: "Jindroush" <kubecj na asw.cz>
>>> 
>>> 
>>> Nelze. Vzdy se jedna o retezec podepsanych certifikatu (chain),
>>> vychazejici z korenovych certifikatu (root cert). Browser (ssl
>>> knihovna) ma seznam trusted korenovych certifikatu. Na skutecny,
>>> nerozpoznatelny MITM byste musel mit a) faked cert pro organizaci X -
>>> vygeneruje kdokoli kdykoli b) podepsany korenovym certifikatem,
>>> kteremu veri zarizeni - nevygeneruje nikdo (s pravdepodobnosti
>>> blizici se 100%, ale ne 100% :) ) c) v pripade echt paranoidnich
>>> setupu, napr. pri pouzivani Chrome ani toto uz nepomuze, viz cert
>>> pinning.
>>> 
>>> 
>>> Takze moje tvrzeni - zarizeni, ktere se necha opit rohlikem ve forme
>>> faked mitm certu je debyl a zaslouzi si to. Zadne rozumne
>>> zarizeni/knihovna toto neumozni.
>>> 
>>> On 28.7.2012 21:33, Jaroslav Lukesh wrote:
>>>> Ano, toto si většina té menšiny lidí mylně myslí. Jenže certifikát
>>>> lze nahradit jiným, tzv. divokým.
>>>> 
>>>> ----- Původní zpráva ----- Od: "Jindroush" <kubecj na asw.cz>
>>>> 
>>>> 
>>>> Jak nepozna? Okamzite prestanou sedet certifikaty a zarizeni, ktery
>>>> si je nehlida, je proste debyl ;)
>>>> 
>>>> Klicova slova budou SSL MITM.
>>>> 
>>>> On 28.7.2012 20:05, Jaroslav Lukesh wrote:
>>>>> i https lze obejít pomocí transparentní https proxy (přesný
>>>>> buzzword si nepamatuji), třeba takový squid to umí a většina
>>>>> klientů to ani nepozná.
>>>>> 
>>>>> 
>>>>> ----- Původní zpráva ----- Od: "Na" <navrhpcb na gmail.com>
>>>>> 
>>>>> 
>>>>> az se o vas dozvědí, tak přejdou na https :-)
>>>>> 
>>>>> Jak si to zarizeni udela session cokies? V zarizeni je nejspise
>>>>> linux a nejde to rootnout a odchytit ten soubor primo v
>>>>> zarizeni?
>>> 
>>> _______________________________________________ HW-list mailing list
>>> - sponsored by www.HW.cz Hw-list na list.hw.cz
>>> http://list.hw.cz/mailman/listinfo/hw-list
>>> 
>> 
>> 
>> -- 
>> Jindroush (kubecj na avast.com)
>> http://www.kostky.org - Pro fany stavebnic LEGO.
>> _______________________________________________
>> HW-list mailing list  -  sponsored by www.HW.cz
>> Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
> 
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list

Další informace o konferenci Hw-list