я немного вяну с его кода, сложно так оценить)

не ну вроде все понятно. парень абуизит ограничение dictionary. Но не уверен что так стоит делать

есть какой то except?

ох шит курсив

есть какой то except?

у меня от шрифта exception, прочти вслух лучше

реально ( как ты с этим живешь

:D

https://github.com/hola/challenge_substring_search/blob/master/submissions/Ralf%20Kistner/combined.js сюда бы еще зависимость от длинны текста

реально ( как ты с этим живешь

вчера меня за такой вопрос хейтером назвали

сделал так но оно инфиниты loading делает

re.lastIndex = match.index + 1;

интересное решение

re?

Парень запускает регулярку с нового места

https://github.com/hola/challenge_substring_search/blob/master/submissions/Ralf%20Kistner/combined.js

а кто-то знает надежный способ проверить в браузере что код работает в validated https контексте? ну чтобы отсечь ситуации когда кто-то грубо встал посередине и пользователь взял и все равно принял сертификат

Именно про другой сайт или про перехват?

как проверить со страницы, что сейчас https полностью окейный

Ну так там прикол в том что есть тупо перехват

И такой не особо отследить

что на самом деле он окейный, а не юзер добавил исключение для сайта и доверился сертификату

Ну так там прикол в том что есть тупо перехват

ну кто-то MITM сделал, браузер скажет что выписан левый сертификат и так нельзя, но пользователь может забить. Вот как в таком случае сказать что я не буду работать и ему следует сделать то и то

И такой не особо отследить

есть способ, но он не очень надежный

ну кто-то MITM сделал, браузер скажет что выписан левый сертификат и так нельзя, но пользователь может забить. Вот как в таком случае сказать что я не буду работать и ему следует сделать то и то

Ну нет браузер не скажет если это сквид

Ну нет браузер не скажет если это сквид

скажет, ну брось

Это будет нормальный сертификат

корневой центр недоверенный будет

Погугли

Атаку

я хорошо знаю о чем я

можно выписать на мой домен сертификат и заставить клиента центру доверять, ровно это и хочет сделать РКН, например

но в общем случае браузер скажет что это выписал хз кто, я его не знаю

можно выписать на мой домен сертификат и заставить клиента центру доверять, ровно это и хочет сделать РКН, например

Нет. В этой атаке человек по середине просто запоминает ключи и другую информацию и читает трафик

можно выписать на мой домен сертификат и заставить клиента центру доверять, ровно это и хочет сделать РКН, например

если всех обязать доверять центру РКН тогда он будет выписыват ьсвой сертификаты на все сайты сам

Нет. В этой атаке человек по середине просто запоминает ключи и другую информацию и читает трафик

😬

Нет. В этой атаке человек по середине просто запоминает ключи и другую информацию и читает трафик

MITM HTTPS возможна только с невалидным сертификатом, либо с модификацией списка корневых центров у клиента

посмотри как это делает любой MITM-отладчик, там везде самоподписанный и ему надо доверять

а открыть сайт с сертификатом на другой домен и вовсе не выйдет

Нет. В этой атаке человек по середине просто запоминает ключи и другую информацию и читает трафик

https бесполезен?

https бесполезен?

он надежен очень, если не презирать предупреждения

просто так незаметно вмешаться в трафик невозможно, клиент должен согласиться тем или иным действием

Ну там какую-то часть сети защищает. Скину атаку завтра д ко сплю

Хотя а этом чате уже обсуждали

Ну там какую-то часть сети защищает. Скину атаку завтра д ко сплю

ну скинь, если клиент аккуратный и не согласен то встать посередине невозможно

KlonD90: https://habrahabr.ru/post/267851/ тут наш читается

Заги

чтобы сделать MITM я должен выписать сертифкат на домен трафик к которому хочу слушать, выписать сертификат может каждый (это self-signed), браузер сразу скажет что это очень плохо но если пользователь явно даст согласие то тогда можно да если я не согласен то слушать мой трафик невозможно

Заги

ну почитай елы палы)

это же SNI блин, имя хоста открытое передается

«Прозрачный» Squid с фильтрацией HTTPS ресурсов без подмены сертификатов Название это подчеркивает же

ты можешь фильтровать HTTPS по имени домена, он специально вынесен в нешифрованный кусок, остальное расшифровать ты не сможешь, это и есть смысл https, он надежен очень

Не разобрался значит я до конца. Хотя не совсем пока понимаю вот если я например не знаю сертификата что мне мешает проделать те же действия что пользователь

Почему я могу стороны не могу поймать момента обмена ключами

The TLS+SNI workflow is identical to Host header advertisement in HTTP, where the client indicates the hostname of the site it is requesting: the same IP address may host many different domains, and both SNI and Host are required to disambiguate between them.

там нет обмена ключами, на сколько я знаю

Не разобрался значит я до конца. Хотя не совсем пока понимаю вот если я например не знаю сертификата что мне мешает проделать те же действия что пользователь

проделай, сервер тебе поверит, а для браузера ты будешь сервером, и пользователь легко просечет что ты мошенник и если он не хочет то ты его не убедишь

щаща. где-то было объяснение на красках

там нет обмена ключами, на сколько я знаю

какой обмен? это же асинхронное шифрование, открытые ключи же

очень рекомендую https://hpbn.co/transport-layer-security-tls/

мало кто даже среди девопсов нормально знает как построен tls

https://www.youtube.com/watch?v=5d8yniGL2G0

https://www.youtube.com/watch?v=5d8yniGL2G0

отличное видео, надо всем программерам показывать

отличное видео, надо всем программерам показывать

я после него понял магию шифрования )

я после него понял магию шифрования )

очень хорошая метафора там , она решает в обучении сложным вещам

+

Так что мешает перехватить сертификат?

Так что мешает перехватить сертификат?

так хватай, чем поможет?

Ну вы имеете оба ключ а и читаете

Переписку

Да, в видео не рассказано как защититься от подмены сервера

ты сможешь можешь договориться с сервером и сказать что ты браузер, ему похер правда это или нет, если он может с тобой общаться то ему ок, теперь тебе нужно сказать браузеру что сервер это ты и заставить его в это поверить, установить с тобой TLS никакой проблемы не возникнет, а вот проверка кто ты и за кого себя выдаешь выдаст тебя, тебе поверят только если ты авторитетный центр, списки которых известны и доступны всем, попасть туда мошеннику невозможно

Зачем мне это? Я не хочу ничего писать

Я хочу читать

Зачем мне это? Я не хочу ничего писать

ты прочтешь только если встанешь вместо сервера

ты прочтешь только если встанешь вместо сервера

Если я знаю ключи и стою в пути то просто читаю трафик

просто пассивно слушать и читать можно только эксплуатируя TLS уязвимости и быстро посчитать одностроннюю функцию в обратную сторону

надо второй видос про то, почему проблематично притвориться серваком ))

Если я знаю ключи и стою в пути то просто читаю трафик

ключи открытые, закрытых ты не зненшь

Зачем мне закрытые?