Re: OT: Vysosání souborů z tcpdump/wireshark capture

Neděle Červenec 29 21:55:38 CEST 2012

To je trochu špatný příklad, hodí se jen na velké firmy, kde se ten divoký 
certifikát natlačí v rámci vnitrofiremní politiky.

Ale kolik lidí zkoumá certifikát od nedůvěryhodné CA u běžných stránek? A 
kolik těch co tomu vůbec nerozumí? Takhle divoký certifikát povolíte jednou 
a máte povoleno nafurt.

Ještě dělají jedno řešení na firmy, kdy se místní CA dá do prohlížečů a pak 
squid generuje nedivoký certifikát pro každou doménu.

Jistě, šťoura toto odhalí, ale kolik to bude i z těch co tomu rozumí, prostě 
jen odkliknou otravné okno?

----- Původní zpráva ----- 
Od: "Jindroush" <kubecj na asw.cz

> Je stale stejne absurdni, cituji:
>
>> This will of course cause the client browser to display an error:
>> [pic]
>>
>> In an enterprise environment you’ll probably want to generate the
>> certificate using a CA that the clients already trust. For example,
>> you could generate the certificate using microsoft’s CA and use
>> certificate auto-enrolment to push the certificate out to all the
>> clients in your domain.
>
>
> Takze plati to, co jsem rikal - okamzite to provede kraval. Pokud tedy 
> chcete to mitm provozovat v ramci site proti vlastnim klientum, musite jim 
> nacpat vlastni root ca.
>
> Obejiti HTTPS/SSL jednoduse pres MitM neni mozne, a prave proto tyto 
> technologie existuji.
>
>
> On 29.7.2012 0:12, Jaroslav Lukesh wrote:
>> Jakkoli se vám může zdát některé moje tvrzení absurdní, já nekecám.
>> Akorát si někdy nemůžu vzpomenout, kde jsem k tomu přišel. Naštěstí
>> pro mně mi google na třetí pokus vyplivnul toto.
>>
>> http://blog.davidvassallo.me/2011/03/22/squid-transparent-ssl-interception/
>>
>>
>>
>> ----- Původní zpráva ----- Od: "Jindroush" <kubecj na asw.cz>
>>
>>
>> Nelze. Vzdy se jedna o retezec podepsanych certifikatu (chain),
>> vychazejici z korenovych certifikatu (root cert). Browser (ssl
>> knihovna) ma seznam trusted korenovych certifikatu. Na skutecny,
>> nerozpoznatelny MITM byste musel mit a) faked cert pro organizaci X -
>> vygeneruje kdokoli kdykoli b) podepsany korenovym certifikatem,
>> kteremu veri zarizeni - nevygeneruje nikdo (s pravdepodobnosti
>> blizici se 100%, ale ne 100% :) ) c) v pripade echt paranoidnich
>> setupu, napr. pri pouzivani Chrome ani toto uz nepomuze, viz cert
>> pinning.
>>
>>
>> Takze moje tvrzeni - zarizeni, ktere se necha opit rohlikem ve forme
>> faked mitm certu je debyl a zaslouzi si to. Zadne rozumne
>> zarizeni/knihovna toto neumozni.
>>
>> On 28.7.2012 21:33, Jaroslav Lukesh wrote:
>>> Ano, toto si většina té menšiny lidí mylně myslí. Jenže certifikát
>>> lze nahradit jiným, tzv. divokým.
>>>
>>> ----- Původní zpráva ----- Od: "Jindroush" <kubecj na asw.cz>
>>>
>>>
>>> Jak nepozna? Okamzite prestanou sedet certifikaty a zarizeni, ktery
>>> si je nehlida, je proste debyl ;)
>>>
>>> Klicova slova budou SSL MITM.
>>>
>>> On 28.7.2012 20:05, Jaroslav Lukesh wrote:
>>>> i https lze obejít pomocí transparentní https proxy (přesný
>>>> buzzword si nepamatuji), třeba takový squid to umí a většina
>>>> klientů to ani nepozná.
>>>>
>>>>
>>>> ----- Původní zpráva ----- Od: "Na" <navrhpcb na gmail.com>
>>>>
>>>>
>>>> az se o vas dozvědí, tak přejdou na https :-)
>>>>
>>>> Jak si to zarizeni udela session cokies? V zarizeni je nejspise
>>>> linux a nejde to rootnout a odchytit ten soubor primo v
>>>> zarizeni?
>>
>> _______________________________________________ HW-list mailing list
>> - sponsored by www.HW.cz Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
>>
>
>
> -- 
> Jindroush (kubecj na avast.com)
> http://www.kostky.org - Pro fany stavebnic LEGO.
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
> 